CORPBANCA CORREDORES DE BOLSA S.A. Evaluación del ambiente general de control interno Circular Nº 1962 Superintendencia de Valores y Seguros Santiago – Chile Noviembre 2012 Avda. Providencia 329, piso 6 Santiago – Chile (562) 328 30 00 www.crowehorwath.cl Santiago, 30 de noviembre de 2012 Señor Cristián Donoso L. Gerente General Corpbanca Corredores de Bolsa S.A. PRESENTE De nuestra consideración: Tenemos el agrado de hacer llegar a usted nuestro informe relacionado con una revisión al diseño, implementación y efectividad de los procesos y controles asociados a las actividades del control interno general, por el período de seis meses terminados al 30 de noviembre de 2012; de acuerdo con los requisitos establecidos en la Circular Nº 1962 de la Superintendencia de Valores y Seguros. Nuestra labor consistió en la revisión de los antecedentes proporcionados por la Sociedad, incluyendo comprobaciones acerca de la metodología, diseño y efectividad del control interno asociados a los procesos operacionales de los corredores de bolsa. En nuestra opinión, basado en los procedimientos detallados y de las observaciones mencionadas en el Anexo A, los procesos y controles generales para las operaciones de Corpbanca Corredores de Bolsa S.A. han sido diseñados e implementados adecuadamente para velar por el cumplimiento de las disposiciones establecidas en la Circular Nº 1962 de la Superintendencia de Valores y Seguros y sus sistemas de información y archivo permiten razonablemente registrar y custodiar la documentación relativa al origen, destino y oportunidad de las transacciones que se efectúan. Horwath HB Auditores Consultores Member Crowe Horwath International Sergio Bascuñán Rivera Socio CORPBANCA CORREDORES DE BOLSA S.A. Evaluación del diseño, implementación y efectividad del control interno general Circular Nº 1962 Superintendencia de Valores y Seguros INDICE Página I Metodología de nuestra labor 2 II Matriz de riesgo y pruebas de cumplimiento 3 III Evaluación del ambiente de control tecnológico asociado al proceso de custodia de valores de terceros 1 24 CORPBANCA CORREDORES DE BOLSA S.A. Evaluación del diseño, implementación y efectividad del control interno general Circular Nº 1962 Superintendencia de Valores y Seguros I METODOLOGIA DE NUESTRA LABOR Objetivos y alcance del servicio solicitado. Fuimos contratados para una revisión especial en el área de Custodia de Valores, requerida por la Superintendencia de Valores y Seguros en su Circular Nº 1962. Dicha circular establece que los intermediarios que opten por no implementar la modalidad de cuentas individuales para los valores de clientes en custodia, deberán efectuar una revisión externa anual de los procesos y controles asociados a esta actividad. Consecuentemente, nuestra revisión tuvo los siguientes objetivos: a) Evaluar la existencia y el cumplimiento del control interno general del intermediario. b) Obtener una descripción detallada de los procesos y controles, comprobando que los mismos estuvieran adecuadamente diseñados y que cumplan con los requerimientos del ente regulador. c) Comprobar que dichos controles se implantarán y entrarán en funcionamiento en los documentos informados a la Administración a partir de la fecha establecida. d) Medir la efectividad de dichos controles y procesos en otorgar la seguridad razonable en lograr los objetivos de control durante el período establecido para su revisión. e) Obtener el entendimiento y descripción del ambiente de control interno, las pruebas aplicadas por el comité de auditoría interna y los resultados de éstas. 2 CORPBANCA CORREDORES DE BOLSA S.A. Evaluación del diseño, implementación y efectividad del control interno general Circular Nº 1962 Superintendencia de Valores y Seguros II MATRIZ DE RIESGO Y PRUEBAS DE CUMPLIMIENTO En el recuadro adjunto, seleccionamos las principales pruebas de cumplimiento ejecutadas por nosotros y su efectividad, que nos permitieron opinar sobre el ambiente de control interno general. Prueba Resultado Conclusión Observaciones Cumplimiento El derecho de propiedad Una vez ejecutado el proceso de asignación el Solicitar informe de Se nos dio a conocer el informe de Efectivo. de los clientes debe estar Administrativo de Procesos Corpbanca ingresa facturación. facturación extraído desde el sistema SIGA protegido al sistema SIGA CB, genera e imprime informe CB, el cual se emite diariamente. Este adecuadamente. de facturación de clientes para todas las proceso se encuentra contemplado en el órdenes cursadas y asignadas durante el día. manual de procedimientos de Corpbanca - Informe de facturación. Corredores de Bolsa S.A. Objetivo de Control El derecho de propiedad de los clientes debe estar protegido adecuadamente. - Validación de facturas. Control El administrativo de Procesos rescata desde repositorio FTP, archivo de facturación electrónica (DTE), el cual envía por medio de una interfaz al sistema Sign@ture para validación de las facturas por parte del Servicio de Impuestos Internos. Ver: - Manual de Procedimiento Facturación Compra/Venta de Acciones. - Informe de facturación. Indagar sobre el Se nos dio acceso a las impresiones de Efectivo. envío del archivo pantalla que contenían el envío del archivo DTE al sistema DTE. Este proceso se encuentra Sign@ture. contemplado en el manual de procedimientos de Corpbanca Corredores de Bolsa S.A. Ver: - Manual de Procedimiento Facturación Compra/Venta de Acciones. - Print pantalla envió archivo DTE a Sign@ture. El derecho de propiedad El administrativo de Procesos Corpbanca Solicitar informe de Se nos proporcionó el informe de asignación Efectivo. de los clientes debe estar ingresa al sistema SIGA CB y genera el asignación. que se emite diariamente al cierre del protegido proceso de asignación RV cronológica de mercado bursátil. Este proceso se adecuadamente. órdenes. encuentra contemplado en el manual de procedimientos de Corpbanca Corredores de - Asignación de Bolsa S.A. órdenes. Ver: - informe de asignación. 3 CORPBANCA CORREDORES DE BOLSA S.A. Evaluación del diseño, implementación y efectividad del control interno general Circular Nº 1962 Superintendencia de Valores y Seguros Objetivo de Control Control El derecho de propiedad de los Las actividades, documentos roles clientes debe estar protegido responsabilidades y autorizaciones necesarias adecuadamente. para la realización de Operaciones de Tesorería y Liquidación de Pagos, se encuentran definidos - Procedimientos formales. en el manual procedimientos. Estos procedimientos se encuentran actualizados, aprobados y difundidos. Prueba Cumplimiento Indagar la existencia de procedimientos de las operaciones de tesorería y liquidación. Resultado Conclusión Se obtuvo el procedimiento tanto de Efectivo. “Liquidación de Operaciones como para las operaciones de Tesorería”, se revisó y se verificó la existencia de las actividades, responsabilidades y tareas, para ambos procedimientos. Estos últimos se encuentran difundidos en la intranet. Ver: - Liquidación de Operaciones Renta Fija y Renta Variable (CCLV). El derecho de propiedad de los El Administrativo de Procesos Corpbanca recibe Validar el envío de correo Se nos proporcionó la impresión de Efectivo. clientes debe estar protegido en su casilla de correo electrónico el resultado electrónico resultado de la pantalla correspondiente al correo adecuadamente. de la validación de cada uno de los documentos validación de documentos electrónico de la validación de los procesados. procesados. documentos procesados (facturas) y el resultado de dicho proceso, este proceso - Información de facturas. se encuentra contemplado en el manual de procedimientos de Corpbanca Corredores de Bolsa S.A. El derecho de propiedad de los Las actividades, documentos, roles, clientes debe estar protegido responsabilidades y autorizaciones necesarias adecuadamente. para la realización de asignación y facturación, se encuentran definidos en el manual de - Asignación de responsabilidades. Procedimientos. Estos procedimientos se encuentran actualizados, aprobados y difundidos. Ver: - Manual de Procedimiento Facturación Compra/Venta de Acciones. - Correo electrónico con la validación de Sign@ture de las facturas procesadas. Inspeccionar el procedimiento Obtuvimos los procedimientos, tanto de Efectivo. de Asignación y Facturación. “Facturación de órdenes de Compra y Venta”, como de “Asignación”, se inspeccionó y se verificó la existencia de las actividades, responsabilidades y tareas, para ambos procedimientos. Dicho proceso se encuentra difundido en la intranet y actualizado a mayo del 2012. Ver: - Procedimientos de “Asignación y Facturación en la compra/venta de acciones”. 4 Observaciones CORPBANCA CORREDORES DE BOLSA S.A. Evaluación del diseño, implementación y efectividad del control interno general Circular Nº 1962 Superintendencia de Valores y Seguros Objetivo de Control Control Prueba Cumplimiento El derecho de propiedad de los Existe un contrato para la Inspeccionar contrato clientes debe estar protegido Custodia de Valores, el cual custodia de valores. adecuadamente. contiene cláusulas que tratan temas sobre el cumplimiento y - Contrato de custodia. obligaciones que se encuentra sujeta la Corredora para asegurar el derecho de propiedad del cliente. El derecho de propiedad de los Las transacciones directas clientes debe estar protegido (compra o venta entre la adecuadamente. Corredora y el cliente), son autorizadas por el cliente en la - Autorización del cliente. Ficha de Cliente. El derecho de propiedad de los Las grabaciones de las clientes debe estar protegido conversaciones telefónicas adecuadamente. con clientes en virtud de las operaciones que ejecute la - Aprobación de comunicaciones Corredora, son autorizadas con el cliente. por los clientes en la Ficha de Cliente. para Resultado Conclusión la El "Contrato único de servicios" especifica la Efectivo. Custodia de Valores del cliente, la cual incorpora cláusulas de cumplimiento y obligaciones que son incorporadas en el set de documentos que se entregan al cliente. Anterior a la existencia del contrato único de servicios, se utilizaba el "Contrato para cartera de acciones y otros valores de custodia de clientes", el que nos señalaba la Custodia de valores del cliente. Ver - Contrato de Custodia. Verificar que en la ficha del cliente En la ficha de cliente para personas naturales y Efectivo. se encuentre la autorización del jurídicas es posible verificar la autorización del cliente para transacciones directas. cliente, mediante firma, para la realización de compras y ventas entre la Corredora y el cliente. Esto se encuentra en la sección “facultades y autorizaciones”. Ver: - Ficha de cliente. Indagar sobre el procedimiento de En la ficha de cliente, se encuentra estipulada la Efectivo grabación de las conversaciones realización de grabaciones telefónicas, por lo telefónicas. que el cliente, al momento de firmar la ficha se da por enterado de este procedimiento. Ver: - Ficha de cliente. 5 Observaciones CORPBANCA CORREDORES DE BOLSA S.A. Evaluación del diseño, implementación y efectividad del control interno general Circular Nº 1962 Superintendencia de Valores y Seguros Objetivo de Control Control Prueba Cumplimiento El derecho de propiedad de los El manual de Procedimientos contiene Inspeccionar los procedimientos de clientes debe estar protegido procedimientos referidos a la custodia Ingreso a Custodia de Corpbanca adecuadamente. de valores en Corpbanca Corredores Corredores de Bolsa S.A. de Bolsa S.A. - Ingreso a custodia. La documentación presentada por los clientes es original, debe estar actualizada y completa. - Creación de clientes. La documentación presentada por los clientes es original, debe estar actualizada y completa. - Firma del cliente. Todos los objetivos, normas, políticas y procedimientos necesarios para la creación de clientes, se encuentran definidas en el manual de procedimientos. El Departamento de Procesos Clientes es responsable de que la información ingresada guarde relación con la documentación firmada por el cliente. A través del manual de procedimientos, los Ejecutivos conocen los documentos necesarios que el cliente debe firmar, para poder ingresar una apertura de cuenta. Resultado Conclusión En el manual de procedimientos de Efectivo. Corpbanca Corredores de Bolsa S.A., efectivamente se encuentran definidos los procedimientos de custodia. Estos se encuentran difundidos en la intranet. Ver: - Procedimiento de Custodia de instrumentos. Inspeccionar el procedimiento Se verifica la existencia de un Efectivo. creación de Cliente. procedimiento de creación de clientes mediante el cual una persona entrega y suscribe toda la documentación necesaria para poder iniciar sus operaciones con Corpbanca Corredores de Bolsa S.A. Ver: - Procedimiento “Creación de Clientes”. Indagar sobre los documentos que Se consigna que el Ejecutivo desde la Efectivo. aparecen en el manual de Intranet revisa en el manual de procedimientos. procedimientos la documentación necesaria que debe completar y firmar el cliente (Persona Natural o Jurídica) para que el ejecutivo pueda ingresar sus datos al Sistema SIGA-CRM. Ver: - Impresión de pantalla del Manual de Procedimientos “Consideraciones generales antes de la creación de un cliente”. 6 Observaciones CORPBANCA CORREDORES DE BOLSA S.A. Evaluación del diseño, implementación y efectividad del control interno general Circular Nº 1962 Superintendencia de Valores y Seguros Objetivo de Control Control Prueba Cumplimiento La documentación presentada por los clientes es original, debe estar actualizada y completa. Se realizan validaciones a los datos de la Ficha de Cliente, enviadas por los Ejecutivos. En caso de existir discrepancias, se devuelve al Ejecutivo, para que se efectúe la rectificación o inclusión de datos faltantes. Indagar sobre las validaciones realizadas a los datos enviados por los Ejecutivos. - Validación de datos. Para el caso de creación de Persona Jurídica, deben enviarse documentación legal, la cual será remitida al estudio para su aprobación y emisión de informe legal. Resultado En el caso de creación de personas jurídicas, al recibir el set de documentos, Operaciones envía al cliente, junto con la planilla, al estudio jurídico para su aprobación y emisión del informe legal. Ver: - Informe Legal. - Contrato Unico de Servicios (Mandato de custodia mercantil irrevocable, canales remotos, factura electrónica). - Fotocopia Cédula de Identidad. - Copia Rol Unico Tributario Empresa. - Ficha Cliente Persona Jurídica. - Listado de Clientes que falta documentación. 7 Conclusión Se verifica que al recibir de los Ejecutivos el set de Efectivo. documentos que corresponden a los datos incluidos a la Ficha del cliente, se valida que no existan diferencias con la planilla. En el caso de que éstas existan, el Cliente no puede operar y son informadas mediante correo electrónico al Ejecutivo para su rectificación o incorporación de datos faltantes. Observaciones CORPBANCA CORREDORES DE BOLSA S.A. Evaluación del diseño, implementación y efectividad del control interno general Circular Nº 1962 Superintendencia de Valores y Seguros Objetivo de Control Control Prueba Cumplimiento La documentación presentada por los clientes es original, debe estar actualizada y completa. Junto a la Plantilla de Creación de Cliente, el Ejecutivo debe adjuntar la documentación necesaria para crear el cliente, como por ejemplo: - Documentación necesaria. - Indagar sobre las validaciones realizadas a la documentación proporcionada por los clientes. Ficha de Cliente. Contrato Único de Servicios. Mandato Custodia. Mandato Servicios Remotos. Mandato Facturación Electrónica. Fotocopia CI. Formulario de Comisiones. Resultado Una vez regularizada esta situación, el Analista de Operaciones firma la planilla en señal de aprobación para su incorporación al Sistema SIGA CRM. Se efectúan validaciones a los documentos mencionados, mediante comprobación de firma, vigencia, concordancia de datos, entre otros. En caso de no existir discrepancias, se envía correo electrónico al Ejecutivo. Ver: - Informe Legal. - Contrato Único de Servicios (Mandato de custodia, mercantil irrevocable, canales remotos, factura electrónica). - Fotocopia Cédula de Identidad. - Copia Rol Único Tributario Empresa. - Ficha Cliente Persona Jurídica. - Listado de Clientes que falta documentación. 8 Conclusión Se corrobora que el set de documentos junto Efectivo. con la planilla entregada por el Ejecutivo no presenta discrepancias, con la información incorporada en el Sistema, ya sea en la vigencia, firma, concordancia de datos entre otros, de ser así éstas son informadas a través de correo electrónico al Ejecutivo quien procede a su rectificación o incorporación de la documentación faltante. Observaciones CORPBANCA CORREDORES DE BOLSA S.A. Evaluación del diseño, implementación y efectividad del control interno general Circular Nº 1962 Superintendencia de Valores y Seguros Objetivo de Control Control Prueba Cumplimiento La documentación presentada Una vez que se obtienen todas las aprobaciones y Indagar las aprobaciones por los clientes es original, documentos, se procede a crear al cliente en el del Jefe de Operaciones a debe estar actualizada y Sistema SIGA-CRM. la creación de clientes. completa. Una vez que se ha creado en los sistemas, el Jefe - Aprobación. de Procesos Clientes, mediante control cruzado, revisa el correcto ingreso de los datos, si es así, aprueba la creación del cliente en el sistema, quedando activado el cliente. Una vez terminada la creación, se informa vía e-mail al ejecutivo correspondiente. Resultado Conclusión Se observa que, obtenidas las aprobaciones Efectivo. y documentos, se procede a crear el cliente bloqueado en el Sistema SIGA-CRM. Creado el cliente en los sistemas, el Jefe de Procesos Clientes, certifica el ingreso de los datos, de ser correcto aprueba su creación en el sistema, informando a través de correo electrónico al Ejecutivo que el cliente se encuentra habilitado para operar. Ver: - Print de Pantalla creación del cliente en el sistema SIGA-CRM. Cuando un Ejecutivo informa el cese de Indagar sobre el cese de Se verifica que cuando el Ejecutivo informa a Efectivo. actividades de un cliente con Corpbanca actividades del cliente. través de correo electrónico el cese de las Corredores de Bolsa S.A., el Área de Procesos actividades de un cliente con Corpbanca Clientes realiza el bloqueo de éste en SIGA-CRM. Corredores de Bolsa S.A., el Departamento de Procesos Clientes bloquea a dicho cliente en el sistema SIGA-CRM. de La documentación presentada por los clientes es original, debe estar actualizada y completa. - Bloqueo por actividades. cese La documentación presentada por los clientes es original, debe estar actualizada y completa. - Planilla de control. Cuando un Ejecutivo informa el cese de actividades de un cliente con Corpbanca Corredores de Bolsa S.A., el Área de Procesos Clientes realiza el bloqueo de éste en SIGA-CRM. Adicionalmente, el área de procesos lleva una planilla en el cual registra y controla los bloqueos por cese de actividades. Ver: - Bloqueo en el Sistema SIGA-CRM de clientes. - Impresión de pantalla de correo electrónico solicitando el bloqueo del cliente. Solicitar planilla Excel de Se verifica que cuando el Ejecutivo informa a Efectivo. registro y control de través de correo electrónico el cese de las bloqueos de clientes. actividades de un cliente con Corpbanca Corredores de Bolsa S.A., el Departamento de Procesos Clientes bloquea a dicho cliente en el sistema SIGA-CRM. Ver: - Bloqueo en el Sistema SIGA-CRM de clientes. - Impresión de pantalla de correo electrónico solicitando el bloqueo del cliente. 9 Observaciones CORPBANCA CORREDORES DE BOLSA S.A. Evaluación del diseño, implementación y efectividad del control interno general Circular Nº 1962 Superintendencia de Valores y Seguros Objetivo de Control Control Prueba Cumplimiento La información entregada al cliente acerca de los movimientos y saldos de sus valores en custodia debe ser veraz, completa y consistente con el registro de custodia. Cada vez que se produce un reparto de dividendos, la Corredora informa a través del Product Manager a sus clientes el monto de la repartición de dividendos, para aquellos que no poseen e-mail, envía carta tipo. Indagar sobre la información proporcionada a clientes del reparto de dividendos. - Información de dividendos. La información entregada al cliente acerca de los movimientos y saldos de sus valores en custodia debe ser veraz, completa y consistente con el registro de custodia. - Informe Accionistas. Junta de La información entregada al cliente acerca de los movimientos y saldos de sus valores en custodia debe ser veraz, completa y consistente con el registro de custodia. - Informe elección directores. Resultado Conclusión Observaciones El Product Manager porta la información Efectivo. mensual de dividendos en el sistema SIGA Cliente (página en Internet www.corpcapital.cl) para conocimiento de los clientes en general. En el sitio público, se revisa en “Mercado de Acciones < nemotécnico < ver”, se abre ventana de la Bolsa de Comercio de Santiago con toda la información de la acción consultada. Cada vez que se realicen juntas ordinarias o extraordinarias de accionistas, la Corredora informa a sus clientes, a través de publicaciones, la fecha de realización de dichas juntas y las materias discutidas. Indagar sobre la información proporcionada a clientes de la realización de juntas de ordinarias o extraordinarias de accionistas. Mediante correo electrónico se informa a los clientes accionistas, que se producirán elecciones de directores, donde se les da la opción de que la Corredora los represente y vote de acuerdo a su elección. Indagar sobre la información proporcionada a clientes que se producirán elecciones a directores. Ver: - Informe de Pago de Dividendos por Nemotécnico. - Correo de información a cliente sobre repartición de dividendos. Se verifica que la supervisora de procesos envía Efectivo. a la encargada de calidad del servicio un correo electrónico con las cartas de información sobre las juntas ordinarias o extraordinarias de accionistas para su posterior publicación. Ver: - Publicación de información sobre juntas de accionistas y juntas extraordinarias. Se evidencia que la supervisora de procesos Efectivo. envía a la encargada de calidad del servicio un correo electrónico con las cartas de información sobre las juntas ordinarias o extraordinarias de accionistas y la carta poder, con la que el cliente autoriza a Corpbanca Corredores de Bolsa a representarlos con voz y voto en las asambleas. Ver: - Carta de cliente, dando representación en votación. 10 la opción de CORPBANCA CORREDORES DE BOLSA S.A. Evaluación del diseño, implementación y efectividad del control interno general Circular Nº 1962 Superintendencia de Valores y Seguros Objetivo de Control Control Prueba Cumplimiento La información entregada al cliente acerca de los movimientos y saldos de sus valores en custodia debe ser veraz, completa y consistente con el registro de custodia. En el caso que se produzca una nueva emisión de acciones de las compañías, se avisa a los clientes mediante correos electrónicos o cartas, el monto y cantidad de acciones que pueden optar en forma preferente. Indagar sobre la información proporcionada a clientes sobre una nueva emisión de acciones. - Nueva acciones. emisión - Operación on-line. Conclusión Observaciones Ver: - La respuesta del cliente es realizada dos días antes del plazo a través del Ejecutivo de la Corredora. - Carta del Emisor indicando la emisión de nuevas acciones. de La información entregada al cliente acerca de los movimientos y saldos de sus valores en custodia debe ser veraz, completa y consistente con el registro de custodia. Resultado Se observa que en el caso de producirse una Efectivo. nueva emisión de acciones de compañías, se informa mediante correo electrónico o cartas, el monto y cantidad de acciones a las que pueden optar. Existe un contrato de servicio de Indagar el contrato de En el contrato único de servicios existe un Efectivo. operación vía Red Internet, entre el servicio de operación vía mandato para operar vía internet, entre el cliente y Corpbanca Corredores de Internet. cliente y Corpbanca Corredores de Bolsa, que Bolsa S.A., donde se estipula que el estipula que el cliente puede operar a través cliente puede consultar a través de la de este medio haciendo consultas sobre red Internet, los saldos, movimientos, saldos, movimientos, pagos de dividendos y los pagos de dividendos y operaciones vigentes. operaciones vigentes. Los clientes con perfil “NORMAL”, no requieren contrato prestación de servicios mediante canales remotos, pues se atienden con la ejecutiva. Ver - Contrato Único de Servicios (Mandato de Canales Remotos, para operar en internet). 11 CORPBANCA CORREDORES DE BOLSA S.A. Evaluación del diseño, implementación y efectividad del control interno general Circular Nº 1962 Superintendencia de Valores y Seguros Objetivo de Control Control Prueba Cumplimiento De existir, complementar con las disposiciones legales, normativas y reglamentarias que rigen la actividad de custodia. Los primeros 15 días hábiles del año calendario, el Departamento de Procesos entrega la nómina de custodia más las impresiones de cartola y una carta generada por el supervisor. Estos se envían al Departamento de Procesos Clientes para su despacho mediante empresa externa. Indagar y obtener evidencia sobre el proceso de circularización efectuado por Corpbanca Corredores de Bolsa S.A. - Circularización. De existir, complementar con las disposiciones legales, normativas y reglamentarias que rigen la actividad de custodia. - Normativa enviada por la Bolsa de Comercio. De existir, complementar con las disposiciones legales, normativas y reglamentarias que rigen la actividad de custodia. Las normativas y procedimientos enviados por la Bolsa de Comercio, son analizadas por las Gerencia General, Gerencia de Operaciones y la Subgerencia de Operaciones, posteriormente son remitidas a las áreas relacionadas. La información enviada por la Bolsa de Comercio, relacionada a normativas SVS e informaciones de interés para las corredoras de bolsas, es recepcionada y analizada por las áreas correspondientes. Resultado Conclusión El proceso de circularización es llevado a cabo por Efectivo. el Departamento de Procesos y se rige por lo señalado en la Circular 1.485 de la Bolsa de Comercio de Santiago, la cual hace referencia a la Resolución Exenta Nº 072 Reglamento sobre Custodia de Valores por los Corredores de Bolsa de la SVS. Todo esto está señalado en el manual de procedimientos de Corpbanca Corredores de Bolsa S.A. Ver: - Impresión de pantalla manual de procedimientos “Proceso de Circularización”. - Evidencia del proceso. Indagar sobre las normativas y Verificamos que toda normativa o procedimiento Efectivo. procedimientos enviados por la enviado por la Bolsa de Comercio de Santiago, a Bolsa de Comercio de través de correo electrónico, es analizada por la Santiago. Gerencia General, Gerencia de Operaciones y el Jefe de Custodia. Ver: - Ejemplo, Correo electrónico enviado por la SVS a la corredora para informar de nueva normativa. Ya que para todo ente regulador es el mismo procedimiento. Indagar sobre la información Se verifica que toda normativa o procedimiento Efectivo. de interés o normativas enviado por la SVS de Santiago, a través de enviadas por la SVS. correo electrónico, es analizada por la Gerencia General, Gerencia de Operaciones y el Jefe de Custodia. - Normativa enviada por la SVS. Ver: - Correo electrónico enviado por la SVS a la Corredora para informar de nueva normativa. 12 Observaciones CORPBANCA CORREDORES DE BOLSA S.A. Evaluación del diseño, implementación y efectividad del control interno general Circular Nº 1962 Superintendencia de Valores y Seguros Objetivo de Control De existir, complementar con las disposiciones legales, normativas y reglamentarias que rigen la actividad de custodia. Control Prueba Cumplimiento El área de Fiscalía efectúa Indagar sobre las revisiones y revisiones y evaluaciones de los evaluaciones encargadas al aspectos legales, normativas y área de Fiscalía. cumplimientos. Se verifica que el Área Legal, ante las Efectivo. consultas del resto de las áreas de la Corredora, efectúa revisiones de aspectos legales, normativas y cumplimientos. - Funciones de Fiscalía. De existir, complementar con las disposiciones legales, normativas y reglamentarias que rigen la actividad de custodia. - Difusión de Normativa. Conclusión Observaciones Se observa que el Gerente de Efectivo. Operaciones sí realiza el seguimiento de la normativa a través de los controles internos de la Corredora y la norma SOX. - Seguimiento. De existir, complementar con las disposiciones legales, normativas y reglamentarias que rigen la actividad de custodia. Resultado El Gerente de Operaciones realiza Indagar sobre el seguimiento el seguimiento al cumplimiento de realizado para cumplir con las las políticas y normas establecidas políticas y normas establecidas. por los entes reguladores. Los procedimientos operativos, generales y de gestión de Corpbanca Corredores de Bolsa S.A., se encuentran difundidos en la Intranet. Observar que los procedimientos de Corpbanca Corredores de Bolsa S.A., se encuentren publicados en la Intranet. Ver: - Correo electrónico enviado al resto de las áreas informando de la nueva normativa. Se constata que el manual de Efectivo. procedimientos de Corpbanca Corredores de Bolsa S.A., se encuentra autorizado y difundido en la Intranet. Ver: - Impresión de pantalla de procedimientos de Corpbanca Corredores de Bolsa S.A. en la Intranet. 13 CORPBANCA CORREDORES DE BOLSA S.A. Evaluación del diseño, implementación y efectividad del control interno general Circular Nº 1962 Superintendencia de Valores y Seguros Objetivo de Control De existir, complementar con las disposiciones legales, normativas y reglamentarias que rigen la actividad de custodia. - Control documentación. De existir, complementar con las disposiciones legales, normativas y reglamentarias que rigen la actividad de custodia. - Planilla de control. De existir, complementar con las disposiciones legales, normativas y reglamentarias que rigen la actividad de custodia. - Cuentas independientes. Control Prueba Cumplimiento Resultado Conclusión La ficha de cliente, el contrato de custodia y los Solicitar planilla Excel de contratos para operar en renta variable, renta registro y control de fija e intermediación financiera, simultáneas, documentación de clientes. derivados o pactos, deben estar firmados por el cliente y registrados en la planilla Excel de control. Se verifica que a través de una planilla Efectivo. Excel, se indica la documentación que el cliente posee y aquella pendiente de entrega y firma. Las órdenes para las operaciones de renta Solicitar planilla Excel de variable, renta fija e intermediación financiera, registro y control de simultáneas, derivados o pactos, deben estar documentación de clientes. firmados por el cliente y registrados en la planilla Excel de control. Existe evidencia de que a través de Efectivo. planillas Excel, separadas por tipo de operación, se controla la firma de los clientes. Los valores de terceros deben estar segregados Indagar sobre el proceso de en cuentas independientes en las que se seguimiento de cada registran los valores propios, además, la cuenta. custodia de terceros relacionados debe registrarse en una cuenta independiente a los no relacionados. Se observa que, en el manual de Efectivo. procedimientos de Corpbanca Corredores de Bolsa S,A, se encuentran detalladas las cuentas a utilizar en el DCV y el uso de éstas. 14 Ver: - Solicitud planilla registro y control de clientes. Ver: - Solicitud planilla registro y control de clientes. Ver: - Procedimiento cuentas DCV. de seguimiento de Observaciones CORPBANCA CORREDORES DE BOLSA S.A. Evaluación del diseño, implementación y efectividad del control interno general Circular Nº 1962 Superintendencia de Valores y Seguros Objetivo de Control De existir, complementar con las disposiciones legales, normativas y reglamentarias que rigen la actividad de custodia. Control Prueba Cumplimiento Las actividades, documentos, roles, Inspeccionar el procedimiento de responsabilidades y autorizaciones necesarias envío de información a la SVS. para el envío de informes requeridos por la Circular N° 1720 de la SVS, se encuentran definidos en el manual de procedimientos. - Procedimientos Formales. De existir, complementar con las disposiciones legales, normativas y reglamentarias que rigen la actividad de custodia. - Informe trimestral SVS. Informe Trimestral 1720 SVS. Informe de instrumentos de terceros mantenidos en custodia y los instrumentos de cartera propia de los intermediarios de valores. El envío es por Internet, la información debe estar referida al cierre del último día de cada trimestre y debe ser enviada dentro de los 10 primeros días corridos del trimestre siguiente. Resultado Conclusión Se obtuvo el procedimiento de Efectivo. "Informes: Gerencia de Operaciones Financieras", inspeccionamos y notamos la existencia de actividades, responsabilidades y tareas para los procesos de facturación y asignación. Estas se encuentran en el manual de procedimientos. Ver: - Impresión de pantalla Manual de procedimientos "Informes: Gerencia de Operaciones Financieras" Indagar sobre el informe El envío del informe 1720 se Efectivo. trimestral enviado a la SVS. encuentra definido en el manual de procedimientos de Corpbanca Corredores de Bolsa S.A. como parte de las obligaciones de la Corredora con los organismos de fiscalización. Ver: - Impresión de pantalla de recepción de la SVS. - Informe Trimestral a la Superintendencia de Valores y Seguros. 15 Observaciones CORPBANCA CORREDORES DE BOLSA S.A. Evaluación del diseño, implementación y efectividad del control interno general Circular Nº 1962 Superintendencia de Valores y Seguros Objetivo de Control Los activos de propiedad de terceros están protegidos de pérdidas, producto de errores o fallas en los sistemas, en las personas y en los procesos. - Grabaciones telefónicas. Los activos de propiedad de terceros están protegidos de pérdidas producto de errores o fallas en los sistemas, en las personas y en los procesos. - Ingreso a DCV. Control Prueba Cumplimiento Resultado Conclusión Observaciones Existen grabaciones de las conversaciones Indagar sobre las grabaciones de las Las grabaciones se encuentran Efectivo. telefónicas con clientes en virtud de las conversaciones telefónicas. definidas como control, en el manual de operaciones que ejecute la Corredora, las que procedimientos de Corpbanca son revisadas por un área independiente y Corredores de Bolsa S.A. luego respaldadas. El sistema utilizado es el Nice Tool, software específico para este fin. Existen 15 equipos con el sistema referido y asignado a cada uno de los Traders. Las conversaciones telefónicas se graban y almacenan por un período de 6 meses (el sistema lo guarda hasta 3 años), permitiendo consultar en cualquier momento. Durante la escucha no se interfieren las grabaciones. Existen Procedimientos escritos de Ingreso de Operaciones al DCV, los cuales describen la forma de ingresar de manera oportuna y exacta las operaciones de los clientes que operan a través del DCV, procurando la pronta liquidación coordinando con las contrapartes el ingreso de dichas operaciones. Ver: - Manual de procedimientos grabaciones y escuchas. Inspeccionar los procedimientos de En el manual de procedimientos, Efectivo Ingreso de Operaciones al DCV. indagamos y observamos la descripción del proceso de ingreso de operaciones desde un emisor y desde un corredor de bolsa. Dicho procedimiento se encuentra difundido en la intranet, señala las áreas involucradas y las diferentes operaciones que se realizan en Corpbanca Corredores de Bolsa S.A. (compra/venta acciones, renta fija e intermediación financiera). Ver: - Impresión pantalla procedimientos. 16 manual de CORPBANCA CORREDORES DE BOLSA S.A. Evaluación del diseño, implementación y efectividad del control interno general Circular Nº 1962 Superintendencia de Valores y Seguros Objetivo de Control Control Prueba Cumplimiento Los activos de propiedad de terceros están protegidos de pérdidas producto de errores o fallas en los sistemas, en las personas y en los procesos. Existe un Contrato de prestación de servicios con la Bolsa de Comercio de Santiago, en el cual se estipula los niveles de servicios ofrecidos por la entidad. Este contrato se encuentra vigente y firmado por ambas partes. Indagar sobre el contrato de prestación de servicios con la Bolsa de Comercio de Santiago. - Contrato de prestación de servicio con la Bolsa de Comercio. Los activos de propiedad de terceros están protegidos de pérdidas producto de errores o fallas en los sistemas, en las personas y en los procesos. - Cuadratura de saldos (1). Conclusión Ver: - Contratos de servicios con Bolsa de Comercio. Existe un Contrato de prestación de servicios con Indagar sobre el contrato de Depósito Central de Valores, en el cual se prestación de servicios con el estipula los niveles de servicios ofrecidos por la Depósito Central de Valores. entidad. Este contrato se encuentra vigente y firmado por ambas partes. - Contrato de prestación de servicio con la DCV. Los procedimientos, procesos y controles definidos en el manual de procedimientos de Corpbanca Corredores de Bolsa S.A, aseguran y resguardan los valores en custodia de los clientes. Resultado Verificamos la existencia de los contratos Efectivo. de servicios entre Corpbanca Corredores de Bolsa S.A y la Bolsa de Comercio de Santiago, los niveles de servicios, la vigencia de dicho contrato y las firmas de los representantes de ambas partes. Verificamos la existencia del contrato entre Efectivo. Corpbanca Corredores de Bolsa S.A. y el Depósito Central de Valores, los niveles de servicios, la vigencia de dicho contrato y las firmas de los representantes de ambas partes. Ver: - Contrato con DCV. Existen procedimiento de Cuadraturas de Saldos Indagar sobre el procedimiento En el manual se detallan los Efectivo de IRF (Instrumentos de Renta Fija) e IIF de cuadratura de Saldos de IRF procedimientos para la Cuadratura de los (Instrumentos de Intermediación Financiera), e IIF. Saldos de IRF (Instrumentos de Renta Fija) cuyo objetivo es dar a conocer el o los e IIF (Instrumentos de Intermediación procedimientos internos que mantiene la Financiera) que detalla actividades, corredora para resguardar sus operaciones de responsabilidades y tareas asignadas a las Compra y Venta de Instrumentos Financieros en áreas involucradas en el proceso. los Mercados de Renta Fija e Intermediación Financiera. Ver: - Procedimiento de Cuadratura de IRF e IIF. 17 Observaciones CORPBANCA CORREDORES DE BOLSA S.A. Evaluación del diseño, implementación y efectividad del control interno general Circular Nº 1962 Superintendencia de Valores y Seguros Objetivo de Control Los procedimientos, procesos y controles definidos en el manual de procedimientos de Corpbanca Corredores de Bolsa S.A, aseguran y resguardan los valores en custodia de los clientes. Control Prueba Cumplimiento - Cuadratura de saldos (2). Los procedimientos, procesos y controles definidos en el manual de procedimientos de Corpbanca Corredores de Bolsa S.A, aseguran y resguardan los valores en custodia de los clientes. Resultado Conclusión Observaciones En forma diaria se realizan cuadraturas de Indagar sobre la realización de Desde el Sistema SIGA - CB se genera un Efectivo. los saldos de posiciones que se cuadraturas de saldos de informe diario, detallando los saldos encuentran IRF (Instrumentos de Renta posiciones de IRF. generales de los clientes, luego se Fija), se comparan los listados sacados del compara con los certificados de posición Sistema SIGA-CB versus el listado DCV. generados del DCV ("Deposito Central de Valores"), de todas las posiciones de Instrumentos de Renta Fija. De existir diferencias, éstas son informadas a través de correo electrónico a la Gerencia General, Subgerencia de Operaciones, Departamento de Procesos y Operadores Mesa de Dinero Renta Fija, para sean regularizadas por las áreas correspondientes. Ver: - Cuadratura diaria de custodia. El Supervisor de Procesos Corpbanca, Solicitar informe de posiciones Se nos proporcionó el informe de Efectivo. obtiene libro de facturación desde el netas. posiciones netas, este proceso se sistema SIGA CB, del cual extrae las encuentra contemplado en el manual de posiciones netas positivas que deben ser procedimientos de Corpbanca Corredores transferidas desde la cuenta DCV 12-160de Bolsa S.A. 11-9 y 12-160-20-8 a la cuenta 12-160-0003, y viceversa para el caso de las Ver: posiciones netas negativas. - Informe de posiciones netas. - Informe de posiciones netas. 18 CORPBANCA CORREDORES DE BOLSA S.A. Evaluación del diseño, implementación y efectividad del control interno general Circular Nº 1962 Superintendencia de Valores y Seguros Objetivo de Control Control Prueba Cumplimiento Los procedimientos, procesos y controles definidos en el manual de procedimientos de Corpbanca Corredores de Bolsa S.A, aseguran y resguardan los valores en custodia de los clientes. Todos los días el Jefe de Control Contable y Cuadraturas, procede a realizar la cuadratura de cuentas de la corredora de bolsa en el DCV, se comparan los saldos de las posiciones obtenidos desde SIGA-CB y DCV y las operaciones de venta y compra pendientes de liquidar. Indagar sobre las cuadraturas de cuentas de la Corredora de Bolsa en el DCV. - Cuadratura cuentas. de Las operaciones cuentan con las autorizaciones necesarias, se registran de manera oportuna y reflejan todos los movimientos generados en las cuentas de los clientes. - Informe de pagos. Las operaciones cuentan con las autorizaciones necesarias, se registran de manera oportuna y reflejan todos los movimientos generados en las cuentas de los clientes. - Confirmación apoderados. El Administrativo de Tesorería de Corpbanca genera diariamente desde el sistema SIGA CB el informe CTILPH que contiene el detalle de los montos por pagar a los clientes, con su respectiva instrucción de liquidación (correspondiente a operaciones de venta efectuadas por los clientes). Resultado Conclusión Observaciones Diariamente se genera una cuadratura de las Efectivo. cuentas de la Corredora (propia y terceros) comparando saldos entre el sistema DCV, Terminal Bolsa y compañías respecto a lo registrado en el sistema SIGA CB. Adicionalmente, se genera un certificado del DCV, donde se informan los saldos y posiciones de las cuentas de la Corredora. La periodicidad de la cuadratura es diaria y se encuentra definida en le manual de procedimientos "Cuadraturas de posición". Ver: - Certificado de posición DCV. Indagar sobre el informe Verificamos que diariamente se genera el Efectivo. de pagos realizados. informe CTILPH con el detalle de los montos a pagar a clientes con su respectiva instrucción de liquidación. Ver: - Informe CTILPH. El Apoderado de Corpbanca Corredores de Indagar sobre la Bolsa revisa los medios de pagos generados confirmación realizada y verifica el V°B° del Supervisor. Luego por los apoderados. aprueba por sistema, y entrega a Administrativo de Tesorería Corpbanca. Se nos proporcionó el detalle de un medio de . Efectivo pago, autorizado electrónicamente por apoderado de Corpbanca y las firmas del Supervisor Operaciones Tesorería y el Administrativo de Tesorería. Ver: - Impresión de pantalla autorización apoderados al medio de pago. de 19 CORPBANCA CORREDORES DE BOLSA S.A. Evaluación del diseño, implementación y efectividad del control interno general Circular Nº 1962 Superintendencia de Valores y Seguros Objetivo de Control Control Prueba Cumplimiento Resultado Conclusión Observaciones Las operaciones cuentan con las autorizaciones necesarias, se registran de manera oportuna y reflejan todos los movimientos generados en las cuentas de los clientes. - Cuadratura dividendos. Una vez que Procesos realiza la Indagar sobre la cuadratura Se realiza una cuadratura de los Efectivo. cuadratura de dividendos de las de dividendos. dividendos de cada compañía, tomando compañías, en el Product Manager-Portal los datos de los certificados de posición se publica la información mensual de del DCV, se descarga el archivo del dividendos en el sistema SIGA-Cliente SIGA CB, se ingresa y se consulta en el para conocimiento de los clientes en terminal bolsa y finalmente se consulta general. Para aquellos clientes sin e-mail el informativo bursátil, emitido por la el Departamento de Procesos Clientes Bolsa de Comercio, posteriormente se de envía correos físicos con la información. envía e-mail a Tesorería y Contabilidad, Se envía e-mail. con los clientes asociados a cada dividendo. Luego el área de Tesorería, revisa los clientes informados, en el sistema SIGA CB. Las operaciones cuentan con las autorizaciones necesarias, se registran de manera oportuna y reflejan todos los movimientos generados en las cuentas de los clientes. - Proceso mora clientes. En caso que el cliente no pague, existe un proceso de moras, donde el Supervisor de Tesorería, detecta todos los saldos morosos y próximos a vencer. Este listado es informado a los ejecutivos, operadores de mesa, mesa de distribución, Supervisores Comerciales, Departamento de Tesorería Corpbanca, para que tomen las acciones respectivas. Ver: - Correo electrónico (correo por emisor) con clientes asociados a dividendos. Indagar sobre el proceso de Se genera un informe llamado "deudores Efectivo. moras de clientes. vigentes" con el detalle de los clientes que poseen deudas vigentes con Corpbanca Corredores de Bolsa S.A. por compra-venta de acciones, simultáneas, pactos forward y spot. Ver: - E-mail informando "registro deudores" a otros departamentos de Corpbanca. - Archivo registro deudores. 20 CORPBANCA CORREDORES DE BOLSA S.A. Evaluación del diseño, implementación y efectividad del control interno general Circular Nº 1962 Superintendencia de Valores y Seguros Objetivo de Control Control Prueba Cumplimiento sobre Restricciones al uso Existen 8 cuentas de la Corredora en el DCV, Indagar existencia de no autorizado de que son: cuentas. valores de terceros en custodia. - Cuenta clientes relacionados. - Cuenta de retención. - Cuentas - Cuenta propia. segregadas. - Cuenta no relacionados. - Cuenta A. - Cuenta B. - Cuenta Inversiones Hispana. - Cuenta Fondo de Inversión HAY. Estas cuentas son para administrar eficientemente la custodia de clientes específicos u otros propósitos. Restricciones al uso no autorizado de valores de terceros en custodia. - Retiro de clientes. Restricciones al uso no autorizado de valores de terceros en custodia. - Recepción cartera. de En el caso en que el cliente retire su cartera de la Corredora, se genera un comprobante de egreso, carta conducta, formulario de traspaso y un print de pantalla de las cuentas bloqueadas en el DCV. Resultado Conclusión Observaciones la Se verificó que, efectivamente, existen 8 Efectivo. las cuentas de la Corredora: - Cuenta clientes relacionados. Cuenta de retención. Cuenta propia. Cuenta no relacionados. Cuenta A. Cuenta B. Cuenta Inversiones Hispana. Cuenta Fondo de Inversión HAY. Ver: - Certificados de cuentas individuales del DCV que posee Corpbanca Corredores de Bolsa S.A. Indagar sobre el caso Se nos proporcionó un caso de un cliente que Efectivo. en que el cliente retire retiró su cartera, en éste pudimos identificar la su cartera de la documentación que se genera al momento de Corredora. dicho retiro. Ver: - Comprobante de egreso. - Carta conducta. - Formulario de traspaso. - Print de pantalla DCV. En el caso de que un cliente desee ingresar su Indagar el caso de cartera a la Corredora de Bolsa, se recibe la recepción de Cartera. carta instrucción enviada por la contraparte en la cual se solicita la transferencia, se genera un comprobante de ingreso. 21 Se nos proporcionó el caso de un cliente que Efectivo ingresó su cartera a la Corredora, en éste pudimos identificar la documentación que se genera al momento de dicho retiro. Ver: - Carta informado traspaso de acciones. - Carta contraparte transferencia. - Formulario de ingreso. CORPBANCA CORREDORES DE BOLSA S.A. Evaluación del diseño, implementación y efectividad del control interno general Circular Nº 1962 Superintendencia de Valores y Seguros Objetivo de Control Restricciones al uso no autorizado de valores de terceros en custodia. - Contrato DCV. Prueba Cumplimiento con Restricciones al uso no autorizado de valores de terceros en custodia. - Contrato Bolsa Comercio. Control Existe un Contrato de prestación de servicios Indagar sobre el contrato de con el Depósito Central de Valores, en el cual prestación de servicios con el se estipula los niveles de servicios ofrecidos por Depósito Central de Valores. la entidad. Este contrato se encuentra vigente y firmado por ambas partes. - Procedimientos Formales. Conclusión Observaciones Ver: - Contrato con DCV. Existe un Contrato de prestación de servicios con la Bolsa de Comercio de Santiago, en el cual se estipula los niveles de servicios ofrecidos por la entidad. Este contrato se encuentra vigente y firmado por ambas partes. con de De existir, complementar con las disposiciones legales, normativas y reglamentarias que rigen la actividad de custodia. Resultado Verificamos la existencia del contrato Efectivo. entre Corpbanca Corredores de Bolsa S.A. y el DCV, además se verificó la existencia de niveles de servicios, la vigencia de dicho contrato y las firmas de los representantes de ambas partes. Las actividades, documentos, roles, responsabilidades y autorizaciones necesarias para la emisión de reportes de ejecución de órdenes requeridos por la Circular Nº 985 de la SVS, se encuentran definidos en el manual de procedimientos. Indagar sobre el contrato de prestación de servicios con la Bolsa de Comercio de Santiago. Verificamos la existencia del contrato Efectivo. entre Corpbanca Corredores de Bolsa S.A. y la Bolsa de Comercio de Santiago, además, se verificaron los niveles de servicios, la vigencia de dicho contrato y las firmas de los representantes de ambas partes. Ver: - Contrato de servicios con Bolsa de Comercio. Inspeccionar el procedimiento No se pudo verificar los procedimientos Efectivo. de emisión de reportes de de "Emisión de Reportes de Ejecución ejecución de órdenes. de Órdenes", pero si se pudo inspeccionar y se notó la existencia de las actividades, responsabilidades y tareas, para los procesos de emisión de reportes de ejecución de órdenes. Dicho procedimiento no se encuentra en el manual de procedimientos 22 CORPBANCA CORREDORES DE BOLSA S.A. Evaluación del diseño, implementación y efectividad del control interno general Circular Nº 1962 Superintendencia de Valores y Seguros Objetivo de Control Control Prueba Cumplimiento De existir, complementar con las disposiciones legales, normativas y reglamentarias que rigen la actividad de custodia. La Corredora de Bolsa deberán proporcionar a sus clientes la información sobre la ejecución de órdenes con un mínimo de información requerida por la Circular: Verificar que los informes cumplan con los datos mínimos exigidos por la circular para el cumplimiento de esta. - Cumplimiento de Circular N° 1985. - Información de la Orden. - Información de la ejecución de la orden. - Otra información del corredor y del mercado. La información entregada al cliente acerca de los movimientos y saldos de sus valores en custodia debe ser veraz, completa y consistente con el registro de custodia. - Reporte órdenes. de ejecución Reporte de ejecución de órdenes, según Circular N° 1985. Este reporte debe ser entregado a los clientes, en un plazo de 5 días hábiles desde que fue ejecutada la orden o mensualmente con previo acuerdo con el cliente y el de intermediario, a través de medios físicos, mecánicos o electrónicos. Resultado Conclusión Para los clientes con Efectivo. operaciones, se seleccionó una muestra de las órdenes de compra o venta dentro del período, revisando los reportes de ejecución de órdenes que deben ser generadas según la Circular Nº 1985. En las que verificamos que se cumplían con los datos mínimos exigidos por la SVS en dicho reporte, por lo que no se encontró excepción alguna. Ver: - Informe de mejoras. Verificar procedimiento de Se verificó que los reportes de Efectivo. envío de esta orden. ejecución de órdenes son enviadas a las personas que no hubieran ingresado directamente sus órdenes a los sistemas de negociación a través de las modalidades de operador directo o de ruteo de órdenes. Estos son enviados por correo electrónico o por correo. Ver: - Notificación de envío de cartas. - Impresión de pantalla de generación de notificación de envío de cartas 23 Observaciones CORPBANCA CORREDORES DE BOLSA S.A. III - Evaluación del ambiente de control tecnológico asociado al proceso de custodia de valores de terceros 24 CORPBANCA CORREDORES DE BOLSA S.A. Evaluación del ambiente de control tecnológico asociado al proceso de custodia de valores de terceros OBJETIVOS Y ALCANCE El análisis al ambiente de control asociado al proceso de custodia de valores de Corpbanca, en específico al soporte tecnológico de Corpbanca Corredores de Bolsa S.A. (sistema SEBRA), consistió en la evaluación de los controles informáticos asociados a las siguientes actividades: 1. Análisis de la definición de perfiles del sistema SEBRA y verificación de los procedimientos de asignación y control de permisos. 2. Verificación del cumplimiento de las políticas de seguridad de la información definidas por Corpbanca, para los usuarios de la Corredora de Bolsa. 3. Análisis del acceso lógico a la red asociada al sistema SEBRA (verificación del cumplimiento de la política de contraseñas y procedimientos de administración de cuentas de usuario de Corpbanca). 4. Análisis del acceso físico a los servidores del sistema SEBRA. 5. Verificación de los procesos de control de cambios a los desarrollos y mantenciones del sistema SEBRA. 6. Análisis a la administración de los procesos de respaldo y batch del sistema SEBRA. 7. Revisión de los procedimientos de continuidad del sistema SEBRA. 8. Análisis a la administración y seguridad de la red interna y perimetral asociada al sistema SEBRA. Nuestros procedimientos de revisión fueron realizados en base a recopilación de información por medio de entrevistas con personal de Corpbanca, para una posterior evaluación de los controles identificados en las actividades antes mencionadas, a través de documentación de respaldo y observaciones en terreno. 25 CORPBANCA CORREDORES DE BOLSA S.A. Evaluación del ambiente de control tecnológico asociado al proceso de custodia de valores de terceros RESULTADOS OBTENIDOS 1. Política de seguridad del Banco. Hallazgo Dentro de la evaluación a las políticas del Banco asociadas a la seguridad de información, verificamos la correcta aplicación de estas a través de una inspección a cinco computadores correspondientes a la Corredora de Bolsa. Como resultado observamos las siguientes situaciones: • De los cinco computadores revisados observamos que todos tienen perfil de administrador para el usuario, lo cual les permite cambiar la configuración del computador e instalar programas, entre otras cosas. • De los cinco computadores revisados observamos que todos tienen activo el puerto USB lo cual les permitía extraer información a un dispositivo externo. Riesgo El incumplimiento de las políticas de seguridad de la información compromete la confidencialidad de la información del Banco y sus clientes. Recomendación Corregir las situaciones antes mencionadas y realizar inspecciones aleatorias en el tiempo, a objeto de asegurar la confidencialidad, la integridad y disponibilidad de la información como lo establece la política del Banco. 2. Administración de cuentas de usuario. Hallazgo Al analizar el proceso de baja de cuentas del sistema SEBRA, observamos que se definió como práctica no eliminar las cuentas de usuario y por restricciones propias del sistema no es posible que el área de Control de Acceso las pueda bloquear, en base a esto se solicita vía correo electrónico a la Bolsa de Comercio que las inhabilite. Sin embargo, el Banco no tiene certeza de que estas cuentas estén realmente deshabilitadas, ya que no hay evidencia que lo confirme. Adicionalmente, observamos que esta excepción al procedimiento de administración de cuentas de los sistemas del Banco no ha sido formalizada en dicho documento. 26 CORPBANCA CORREDORES DE BOLSA S.A. Evaluación del ambiente de control tecnológico asociado al proceso de custodia de valores de terceros Riesgo Mantener cuentas de personal finiquitado dentro del sistema puede generar accesos no autorizados poniendo en riesgo la información del Banco. La ausencia de documentación formal no permite asegurar un adecuado control por parte del Banco, respecto de los controles de nivel operativo. Luego, los procedimientos de control, podrían ser aplicados de manera errónea, parcial o no ser aplicados puesto que se está condicionado al conocimiento de las personas involucradas en el proceso. Recomendación Incluir dentro del procedimiento de administración de cuentas del Banco la baja de cuentas asociados al sistema SEBRA y solicitar a la Bolsa de Comercio la evidencia que corrobore la Inhabilitación de estas. 3. Análisis de cuentas de usuario. Hallazgo Dentro del análisis efectuado a las cuentas con acceso al sistema SEBRA identificamos cuatro cuentas genéricas: • • • • OPERADORES SOPORTEBCS TESTE WAS Estas cuentas están por historia en el sistema y no se sabe con certeza a quién corresponden y para que se utilizan. El área de Control de Accesos recibió el sistema con estos usuarios creados con antelación, si bien ese ha consultado sobre el uso y vigencia de estas cuentas no han tenido respuesta. Por otro lado, al analizar los listados de personal observamos cuentas asociadas a colaboradores finiquitados: • • • • Katherine Muñoz Fernandez Matias Olivos Jimenez Pablo Donetch Ulloa Rosario Letelier Letelier De acuerdo a lo indicado por el área de Control de Acceso se solicitó a la Bolsa de Comercio el bloqueo de estas cuentas, pero no hay certeza de que se haya realizado. Adicionalmente, identificamos la cuenta de usuario correspondiente a Daniel Thenoux Ruiz la cual no se encuentra en los listados de personal (vigente y finiquitado) del Banco. 27 CORPBANCA CORREDORES DE BOLSA S.A. Evaluación del ambiente de control tecnológico asociado al proceso de custodia de valores de terceros Riesgo El uso de cuentas genéricas no permite identificar al responsable en caso de ocurrir situaciones anómalas dentro del sistema, ya que dificulta el seguimiento a las actividades realizas con este tipo de cuentas. Mantener cuentas de personal que fue finiquitada dentro del sistema, puede generar accesos no autorizados poniendo en riesgo la información del Banco. Recomendación Realizar un levantamiento de las cuentas mencionadas a objeto de identificar su uso y función, para luego eliminar o renombrar aquellas que no son utilizadas y de esta manera tener un mayor control sobre los accesos dentro del sistema SEBRA. 4. Aplicación de la política de control de acceso definida por el Banco. Hallazgo De nuestro análisis a la seguridad lógica del sistema SEBRA, verificamos que los controles de acceso implementados estuvieran de acuerdo a las políticas definidas por el Banco. Como resultado observamos que el sistema no permite configurar la vigencia de contraseña, por lo que estas nunca son cambiadas. Riesgo La ausencia de políticas de contraseñas puede traducirse en accesos no autorizados, que comprometan la integridad y seguridad de la información almacenada en los sistemas. Recomendación Evaluar la factibilidad de implementar la opción de vigencia máxima de la contraseña, en base a lo establecido por la política del Banco, a objeto de asegurar la confidencialidad de las mismas. 5. Registros de actividades. Hallazgo Al analizar el registro de actividades de los usuarios sobe el sistema SEBRA, observamos que este solo almacena los accesos de los usuarios y no las acciones dentro de este (creación, modificación o eliminación). Adicionalmente verificamos que se cuenta con otro registro de actividades, el cual comprobamos tampoco sirve para realizar un correcto seguimiento ya que la información entregada por este es poco entendible. 28 CORPBANCA CORREDORES DE BOLSA S.A. Evaluación del ambiente de control tecnológico asociado al proceso de custodia de valores de terceros Riesgo La carencia de contar con registros de auditoría claros y concisos asociados a las actividades que realizan los usuarios sobre el sistema, impide hacer un seguimiento adecuado, ya sea por motivos de carácter preventivo o en caso de ocurrir situaciones anómalas. Recomendación Solicitar al proveedor del sistema SEBRA confeccionar un registro de eventos que permita hacer un correcto seguimiento a las actividades realizadas por los usuarios. 6. Definición de roles y privilegios. Hallazgo Al solicitar los permisos que tienen los usuarios sobre el sistema, verificamos que no existe una definición de perfiles formal por parte del negocio, que indique los privilegios que deben tener los colaboradores sobre el sistema en base a su cargo y responsabilidades. De acuerdo a lo mencionado por el área de Control de Accesos, al momento de asignar permisos a un nuevo usuario se les solicita homologar los de uno ya existente con características similares. Adicionalmente, observamos que el sistema no permite la creación de perfiles, por lo que solamente es posible asignar los accesos uno a uno a los usuarios y no por grupos de acceso, lo cual dificulta la administración de los mismos. Riesgo La falta de definiciones formales asociada a los permisos de los usuarios sobre el sistema puede provocar asignaciones no acorde a sus responsabilidades, lo cual se traduce en accesos no autorizados a la información del Banco. No poder crear perfiles dentro del sistema, dificulta la administración de los accesos ya que aumenta la probabilidad de asignar permisos adicionales a usuarios no acorde a sus responsabilidades. Este riesgo se incrementa al homologar los permisos de otros usuarios ya existentes en el sistema. Recomendación Formalizar los privilegios de los usuarios en base a su cargo y responsabilidades y solicitar al proveedor del sistema SEBRA la implementación de perfiles de acceso, a objeto de evitar posibles actividades no autorizadas. 29