Esta política tiene por objeto establecer los conceptos, directrices y normas de gestión de riesgos, dirigidos a AWPS Invest , los clientes y el público en general.

Esta política se aplica a todos los directores, socios, empleados, becarios y proveedores de servicios de AWPS Invest (Empresa).

Riesgo: amenazas o acciones que pueden afectar a los objetivos de la empresa.

Apetito de riesgo: nivel de exposición al riesgo que la empresa está dispuesta a aceptar.

Controles: políticas, normas, procedimientos, actividades y mecanismos desarrollados para garantizar el cumplimiento de los objetivos empresariales y la prevención o detección y corrección de acontecimientos no deseados.

Actividades de Control: Conjunto de acciones, políticas, normas, procedimientos y sistemas, con los que se pretende salvaguardar los activos, asegurando que sus riesgos son conocidos y adecuadamente mitigados.

Establecer las normas de gestión de riesgos, basándose en las mejores prácticas y en la normativa vigente, mediante la segregación de las líneas de defensa y el seguimiento de los controles internos.

La segregación de funciones, roles, responsabilidades, áreas y prácticas se consideran "líneas de defensa" con el objetivo de mitigar la materialización de riesgos que puedan causar pérdidas a la Empresa.

La primera línea de defensa es directamente responsable de gestionar, identificar, supervisar y mitigar la materialización de los riesgos. Suelen estar asociadas a las funciones, prácticas y áreas que mantienen los procesos de negocio de la Empresa. Así, esta línea de defensa tiene como objetivos

- Identificar, evaluar, controlar y mitigar los riesgos;

- Aplicar medidas para el tratamiento de los riesgos;

- Mantener controles internos eficaces;

- Informar de posibles pérdidas.

La segunda línea de defensa se encarga de supervisar los niveles de riesgo, con el fin de garantizar que se encuentran dentro del "apetito de riesgo" establecido. Así, esta línea de defensa tiene los siguientes objetivos:

- Implantar la estructura de gestión de riesgos;

- Orientar sobre la gestión y las prácticas de riesgo;

- Garantizar que se establecen los límites y el alcance de la aprobación;

- Supervisar los riesgos operativos y las pérdidas;

- Supervisar la eficacia de los controles internos y las medidas paliativas;

- Proporcionar visibilidad a los directivos sobre la situación del entorno de control y los riesgos.

La tercera línea de defensa se encarga de la evaluación independiente de los controles internos y los riesgos para la alta dirección de la empresa. Así, esta línea de defensa tiene los siguientes objetivos:

- Auditar de forma independiente los procesos y controles internos;

- Evaluar la eficacia de la gestión de riesgos y los controles internos.

La estructura de gestión de riesgos debe estar segregada por líneas de defensa, capaces de evaluar periódicamente los procesos, prácticas y controles con el fin de identificar y medir las vulnerabilidades que pueden conducir a pérdidas y, consecuentemente, impactar en los objetivos de negocio.

Los procesos deben contar con actividades de control que garanticen que sus riesgos se conocen, se controlan y se mitigan adecuadamente.

La medición del riesgo debe considerar la exposición a la vulnerabilidad y el impacto, basándose en los límites descritos a continuación.

- Los riesgos deben identificarse, evaluarse, documentarse y formalizarse de forma estructurada para que sean conocidos y tratados.

- Los riesgos deben evaluarse y medirse teniendo en cuenta el nivel de exposición a la vulnerabilidad en relación con el impacto en la empresa.

A continuación figura la escala de vulnerabilidad que debe tenerse en cuenta para medir el riesgo:

- Bajo: Existencia de controles internos eficaces para mitigar los riesgos.

- Medio: Predominio de controles internos eficaces para mitigar los riesgos.

- Alto: Pocos controles eficaces para mitigar los riesgos.

- Extremo: Inexistencia o predominio de controles ineficaces para mitigar los riesgos.

La medición del riesgo debe realizarse sobre la base del impacto desde una perspectiva financiera, de reputación y normativa.

A continuación se indica la escala de impacto financiero que debe tenerse en cuenta para medir el riesgo:

- Baja: Hasta 30.000,00 EUR

- Medio: Entre 30.000,01 EUR y 100.000,00 EUR

- Alta: Entre 100.000,01 EUR y 500.000,00 EUR

- Extremo: Más de 500.000,00

A continuación se indica la escala de impacto en la reputación que debe tenerse en cuenta a la hora de medir el riesgo:

- Bajo: Impacto irrelevante en la reputación, en un grupo reducido de clientes y con rápida reparación.

- Medio: Impacto mínimo en la reputación, atención de los medios locales y reversible a corto plazo.

- Alto: Impacto reputacional relevante, amplia atención mediática y posibilidad de reparación.

- Extremo: Impacto relevante en la reputación, atención mediática nacional y difícilmente subsanable.

A continuación se indica la escala de impacto normativo que debe tenerse en cuenta para la medición del riesgo:

- Baja: Avisos legales, sin sanción ni multa.

- Media: No se aplican multas ni sanciones significativas.

- Alta: Aplicación de multas o sanciones significativas que no afecten a la continuidad de las operaciones empresariales.

- Extremo: Aplicación de multas o sanciones que afectan a la continuidad de las operaciones empresariales.

Los riesgos deben tratarse en función de su exposición y prioridad. De este modo, las medidas que se indican a continuación pueden adoptarse como tratamiento de los riesgos:

- Evitar: interrumpir las actividades, productos, negocios, prácticas o procesos que entrañen los riesgos identificados.

- Reducir: adoptar medidas o acciones para reducir la vulnerabilidad o el impacto del riesgo identificado.

- Compartir: transferir la vulnerabilidad o el impacto a un tercero (por ejemplo, seguros, cobertura, etc.).

- Aceptar: no se realiza ninguna acción.

Las acciones, controles y procesos relacionados con el tratamiento de riesgos deben evaluarse periódicamente para garantizar que las medidas adoptadas han sido eficaces.

Los responsables del riesgo, gestores de la primera línea de defensa, deben llevar a cabo el tratamiento del riesgo en función del nivel de exposición y en los plazos que se indican a continuación:

- Baja: hasta 365 días después de la identificación.

- Medio: hasta 180 días después de la identificación.

- Alta: hasta 60 días después de la identificación.

- Extremo: hasta 30 días después de la identificación.

Los riesgos que tienen repercusiones reglamentarias deben tratarse en los plazos estipulados por los organismos reguladores y la ley.

Los tratamientos de riesgo deben ser aprobados por la autoridad competente:

- Bajo: Gestor directo, responsable del proceso, práctica o negocio;

- Medio: Líder o Director del proceso, práctica o negocio;

- Alto: Director General;

- Extremo: Socios.

Hay que registrar los riesgos materializados, contabilizar las pérdidas y prever los tratamientos para que la empresa pueda evitar, reducir, compartir o aceptar la repetición de estos sucesos.

Socio Director

Responsabilidades del Socio Director:

- Definir el "Apetito de riesgo" de la empresa;

- Aprobar el tratamiento de los riesgos extremos;

- Supervisar la evolución de la estructura de gestión de riesgos.

Directores, líderes y gestores

Responsabilidades de directores, líderes y gerentes:

- Aprobar tratamientos de alto, medio y bajo riesgo;

- Garantizar la aplicación de controles internos para la identificación y el tratamiento de los riesgos;

- Comunicar la identificación y el progreso del tratamiento de los riesgos;

- Acompañar la evolución de la estructura de gestión de riesgos dentro de sus áreas, procesos, prácticas, productos y negocios.

- Contrato social

- Código de conducta

- COSO - ERM: Comité de Organizaciones Patrocinadoras de la Comisión Treadway - Marco de Gestión del Riesgo Empresarial