Informe integral de riesgos - BAC Credomatic
Post on 02-Oct-2021
5 Views
Preview:
Transcript
INFORME DE GESTIÓN INTEGRAL DE RIESGOS BANCO DE AMÉRICA CENTRAL, S.A.
AÑO 2015
| 1 |
Tabla de contenido
I. ESTRUCTURA ORGANIZATIVA PARA LA GESTIÓN INTEGRAL DE RIESGOS ................................... 2
II. DETALLE DE LOS PRINCIPALES RIESGOS ASUMIDOS POR LAS ACTIVIDADES DE LA ENTIDAD ...... 3
1. RIESGO DE CRÉDITO ................................................................................................................. 4
2. RIESGO DE MERCADO ............................................................................................................... 5
3. RIESGO DE LIQUIDEZ ................................................................................................................. 6
4. RIESGO OPERACIONAL .............................................................................................................. 8
5. RIESGO TECNOLÓGICO ........................................................................................................... 10
6. RIESGO DE LAVADO DE ACTIVOS Y FINANCIACIÓN DEL TERRORISMO ..................................... 12
7. RIESGO REPUTACIONAL .......................................................................................................... 14
8. RIESGO LEGAL......................................................................................................................... 16
9. CONTINUIDAD DEL NEGOCIO .................................................................................................. 18
| 2 |
BANCO DE AMÉRICA CENTRAL, S.A. Miembro BAC | CREDOMATIC NETWORK
INFORME DE LA EVALUACIÓN TÉCNICA DE LA GESTIÓN INTEGRAL DE RIESGOS
AÑO 2015
I. ESTRUCTURA ORGANIZATIVA PARA LA GESTIÓN INTEGRAL DE RIESGOS
Estructura de Gestión de Riesgos a nivel de comites y areas involucradas
Continuidad
de Negocios
| 3 |
Estructura de Gestión, Gerencia Integral de Riesgos y Cumplimiento
II. DETALLE DE LOS PRINCIPALES RIESGOS ASUMIDOS POR LAS ACTIVIDADES DE LA ENTIDAD
• RIESGO DE CRÉDITO
• RIESGO DE MERCADO
• RIESGO DE LIQUIDEZ
• RIESGO OPERACIONAL
• RIESGO TECNOLÓGICO
• RIESGO DE LAVADO DE ACTIVOS Y FINANCIACIÓN DEL TERRORISMO
• RIESGO REPUTACIONAL
• RIESGO LEGAL
• RIESGO DE CONTINUIDAD DEL NEGOCIO
Gerente de Gestión Integral de Riesgos y
Cumplimiento
(1) + (5) + (21)
Riesgos Financieros
(1) + (2)
Riesgo de Crédito y Concentración
(1)
Riesgo de Mercado y Liquidez
(1)
Contraloría de Créditos
(1) + (3)
Analistas
(3)
Riesgo Operacional
(1) + (4)
Analistas de Riesgo Operacional
(4)
Oficina de Cumplimiento
(1) + (10)
Analistas de Detección y Análisis
(3)
Analista de Riesgos SARLAFT
(1)
Control y Prevención
(2)
Riesgo Legal
(1)
Analista Tecnológico de Cumplimiento
(1)
Analista de Segmentación y Cumplimiento
(1)
Asistente
(1)
Continuidad de Negocios y Gestión de
Riesgos
(1) + (2)
Analista de Riesgo Tecnológico y de Continuidad de
Negocios
(1)
Oficial de Seguridad de la Información
(1)
| 4 |
1. RIESGO DE CRÉDITO
El Riesgo de Crédito se define como el riesgo derivado de la incertidumbre de la capacidad del deudor frente a sus
obligaciones contractuales. Este surge cuando los flujos de caja comprometidos por préstamos y valores pueden no ser
pagados oportuna o totalmente según lo estipulado en el contrato, resultando así una perdida financiera para el banco.
El Departamento de Riesgos Financieros, mediante la Gestión de Riesgo de Crédito, se encarga del proceso de identificación,
medición, monitoreo, control y divulgación del Control de Riesgo de Crédito, en el conjunto de establecer los objetivos,
políticas, procedimientos y acciones establecidas por el banco para este propósito.
1.1. POLÍTICAS ACTUALIZADAS PARA LA GESTIÓN DE RIESGO DE CRÉDITO La Política de la Gestión de Riesgo de Crédito y Concentración fue aprobada por la Junta Directiva, y consta en Acta JD-
18/2012, celebrada el 12 de septiembre de 2012, tal como lo establece la NPB4-49 en el Artículo 4. La Junta Directiva, dando
cumplimiento al Artículo 7 literal d) de NPB4-47, aprobó dicha política, quedando en vigencia por tiempo indefinido.
El departamento de riesgos financieros tiene un manual donde se establecen los indicadores de concentración de cartera, asunción de riesgos, top de deudores y otros ratios de créditos. El documento engloba todos los procesos que se realizan para el cumplimiento de la gestión de riesgo de crédito. Una de las herramientas utilizadas para la evaluación de Riesgo de Crédito es la “Simulación de Escenarios de Estrés”, que se
lleva a cabo al menos cada seis meses, realizando una simulación de escenarios adversos en la Carteras Corporativas y
Carteras de Personas, incluida la tarjeta de crédito, dichas simulaciones son realizadas por la Dirección Regional. Asimismo, el
Departamento de Riesgos Financieros realiza las pruebas para la cartera hipotecaria de manera semestral. Los resultados son
expuestos a la Alta administración y las Unidades de negocio para que tomen en consideración tales resultados en sus
decisiones comerciales. Además, dicho análisis permite obtener una variedad de escenarios que facilitan al Banco desarrollar
y ajustar sus propuestas de negocio y establecimiento de políticas.
1.2. DESCRIPCIÓN DE LAS METODOLOGÍAS, SISTEMAS Y HERRAMIENTAS UTILIZADAS El proceso de otorgamiento de crédito se divide en dos áreas, una es el proceso para créditos de banca de persona y la otra es
créditos de empresas.
En banca de personas el proceso se desarrolla en una herramienta automática llamada Mantiz, en el work-flow de Mantiz se
integran tres motores, el de pre-valuación, buros (interno y Superintendencia del Sistema Financiero) y oferta comercial.
El otorgamiento de créditos de empresas se define por un instrumento que es el Memorándum de Crédito (MC). Una vez
originada la relación crediticia se le da seguimiento consistente en la actualización de sus estados financieros, sesiones,
valuos y visitas que permiten a la institución asegurar el cumplimiento de las obligaciones del cliente con el banco.
Para los créditos de banca de empresas, el cálculo de la provisión se realiza por medio del análisis de los estados financieros a
partir de los cuales se obtiene el índice “IRRBAC”, que establece un puntaje de acuerdo a la información suministrada, y este
se convierte en un CRR, el cual asigna una calificación a cada empresa que puede estar entre 1 y 9. A partir de esta calificación
se realiza la provisión para cada crédito.
Otra herramienta que se utiliza es el dashboard de concentración, mensualmente se mide la evolución de la exposición por
tipo de cartera y sector económico, para esto la Junta Directiva ha aprobado niveles máximos de tolerancia y se monitorea
para poder alertar a las áreas de riesgos y de negocio cuando la institución se está acercando o se han sobrepasado los
umbrales que han sido definidos como el apetito de riesgo.
| 5 |
1.3. RESULTADO DE LA EVALUACIÓN EFECTUADA A LA GESTIÓN DE RIESGO DE CRÉDITO Se han realizado evaluaciones por la Dirección Regional de Riesgos del Grupo para la aprobación y desarrollo de Políticas.
El área de auditoria interna realizo el informe DAISALBAC-12/2015 sobre la Evaluación NPB4-49 “Normas para la gestión del
riesgo crediticio y concentración de crédito” con fecha Agosto 20015.
Objetivo de la auditoria:
a) Evaluar las políticas y controles implementados para el cumplimiento de la Norma NPB4-49, emitida por la
Superintendencia del Sistema Financiero.
La calificación del informe es “B” Satisfactoria, esta se asigna a aquellas áreas o procesos en los cuales Auditoria interna
detecta que los controles son apropiados para mantener un nivel razonable de seguridad, la mitigación de riesgos esta en
cumplimiento con los objetivos del negocio, sin embargo se detectaron algunos puntos de mejora, a los cuales la
administración de riesgos les está dando seguimiento.
1.4. PROYECTOS ASOCIADOS A LA GESTIÓN DE RIESGO DE CRÉDITO A DESARROLLAR EN 2016 En cumplimiento con la gestión integral de riesgos se ha programado la implementación de diferentes indicadores y
herramientas que enriquezcan el análisis del riesgo crediticio en los diferentes portafolios entre ellos estas:
• Elaboración de cosechas de cartera.
• Evolución de mora.
2. RIESGO DE MERCADO
El Riesgo de Mercado se define como la posibilidad que el Banco incurra en pérdidas como resultado de los cambios en los
precios de mercado de los instrumentos financieros en que mantiene exposiciones dentro o fuera del balance.
Se estableció la siguiente estructura para la Gestión de Riesgo de Mercado, la cual fue aprobada en Junta Directiva, donde el
Departamento de Riesgos Financieros controla el riesgo, informando el desempeño y desviaciones, para efectos de generar
reportes e informes que se presentan en el Comité Integral de Riesgos.
2.1. POLÍTICAS ACTUALIZADAS PARA LA GESTIÓN DE RIESGO DE MERCADO La política de Gestión de Riesgo de Mercado fue aprobada en sesión 04/2014 celebrada el 14 de octubre de 2014, con vigencia a partir de esa fecha y fue ratificada en el Comité Integral de Riesgos en sesión 01/2016 celebrada el 22 de enero de 2016. La institución cuenta además con una Política de Inversiones a nivel regional que establece una serie de controles y parámetros que toman en cuenta la calificación y calidad de los emisores, límites específicos de inversión y la diversificación de los portafolios del grupo. Para el monitoreo y control de la gestión de riesgo de mercado se han identificado los límites establecidos en la “Política de liquidez e inversión local ” y la “Política de Gestión de Riesgo de Mercado” la cual se utiliza para la administración de las operaciones de la tesorería del banco.
2.2. DESCRIPCIÓN DE LAS METODOLOGÍAS, SISTEMAS Y HERRAMIENTAS UTILIZADAS El proceso de monitoreo y medición del riesgo se realiza a través del seguimiento de los procesos de ejecución y liquidación
de las negociaciones de los instrumentos de inversión, de esta manera el Middle Office en el proceso de inversiones, previo a
la autorización, se revisan las condiciones de la inversión y posterior a la negociación se verifica que la inversión se haya
cerrado y contabilizado de acuerdo a lo aprobado y se verifica la inclusión de la compra en el Módulo de Administración y
Control de la Cartera de Inversión.
| 6 |
Se verifica la aplicación de la política y se calcula el riesgo de tasa de interés en inversiones de portafolio y se realizan las
pruebas de stress. Los resultados se presentan de forma mensual en el Comité de Activos y Pasivos y en el Comité de
Administración Integral de Riesgo.
Además se utiliza el modelo de GAP de tasas para la medición de los activos y pasivos sensibles a cambios de tasas.
De los controles que se monitorean al observar una variación fuera de los límites establecidos por política se activan alertas
para las unidades y comités competentes.
Durante al año 2015 se realizó el monitoreo de las volatilidad de tasas la cual se calcula de acuerdo a 1, 2 y 3 desviaciones
estándar, con esto modelo se determina las tasas activas y pasivas mínimas y máximas de la semana del sistema y del banco,
esto se realiza con 84.1%, 97.7% y 99.9% nivel de confianza. El periodo observado para realizar las volatilidades de tasas es
de un año.
2.3. RESULTADO DE LA EVALUACIÓN EFECTUADA A LA GESTIÓN DE RIESGO DE MERCADO Como parte del plan de trabajo, en el presente ciclo se llevaron a cabo Auditorías para verificar la capacidad de los controles
creados para el buen funcionamiento del Middle-Office en las operaciones bursátiles.
La institución se encuentra comprometida con el cumplimiento de normativas y regulaciones por lo que se cumple con la Ley Sarbenes Oxley y uno de los principales controles que se tiene en la medición del riesgo de mercado es de carácter SOX, el cual ha sido aprobado por el Líder SOX para ser elaborado dentro de la Matriz de Tesorería que otorga responsabilidades específicas a la gestión integral de riesgos. Dicho control también ha sido evaluado por auditoria interna. El área de auditoria interna realizo el informe DAISALBAC-42/2014 y seguimiento Agosto 2015 sobre la Evaluación de
“Inversiones Financieras” con fecha Agosto 2015.
Objetivo de la auditoria:
a) Evaluar la gestión de riesgos y controles implementados para administrar los procesos relacionados con las
inversiones financieras.
b) Evaluar la razonabilidad de los saldos contables de las inversiones financieras.
c) Evaluar el cumplimiento con las normas emitidas por la SSF, aplicables a las inversiones.
d) Evaluar el cumplimiento con las mejores prácticas de control interno y seguridad de la información divulgada por el
grupo AVAL.
La calificación del informe es “B” Satisfactoria, esta se asigna a aquellas áreas o procesos en los cuales Auditoria interna
detecta que los controles son apropiados para mantener un nivel razonable de seguridad, la mitigación de riesgos esta en
cumplimiento con los objetivos del negocio, sin embargo se detectaron algunos puntos de mejora, a los cuales la
administración de riesgos les está dando seguimiento.
2.4. PROYECTOS ASOCIADOS A LA GESTIÓN DE RIESGO DE MERCADO A DESARROLLAR EN 2016 Para el 2016 se ha establecido el cálculo del Valor en Riesgo de las inversiones por medio del modelo de Markowitz para dar
seguimiento a las distintas inversiones, permitiendo un mejor detalle de cada título y su descripción actualizada.
3. RIESGO DE LIQUIDEZ
La institución tiene como filosofía cumplir con sus obligaciones contractuales de tal manera que los acreedores puedan tener
acceso a sus recursos en el momento establecido. Para ello se han implementado herramientas que permiten medir la
volatilidad de los depósitos, suficiencia de reservas de liquidez y adecuado manejo de los fondos líquidos, para utilizarlos de la
manera más eficiente, tomando en cuenta los cambios en el entorno que pudieran dificultar la disponibilidad inmediata de
fondos.
3.1. POLÍTICAS ACTUALIZADAS PARA LA GESTIÓN DE RIESGO DE LIQUIDEZ Durante el año 2015, la Junta Directiva, dando cumplimiento al Artículo 7 literal d) de la NPB4-47 y al Artículo 5 literal b) de la
NRP-05, aprobó la actualización del Plan de Contingencia en sesión 21/2015 celebrada el 17 de noviembre de 2015 y el
| 7 |
Manual de Riesgos Financieros. El Plan establece los roles y responsabilidades ante un evento de contingencia, eventos que
activas el plan, fuentes de fondeo interna y externas como alternativa ante una eventual crisis, procedimientos para
administrar la crisis y canales de comunicación que deben utilizarse. Este plan ha tenido pruebas en los últimos dos años,
simulando un escenario controlado que busca medir el grado de preparación de los responsables de implementar el plan y la
forma en que abordarían una crisis de opinión publica generada por una corrida de fondos.
El departamento de riesgos financieros también cuenta con un manual que define los roles y responsabilidades en la toma
del riesgo, las acciones para mitigarlo y monitorearlo. También se establece la documentación y procedimientos, así como los
controles e indicadores.
3.2. DESCRIPCIÓN DE LAS METODOLOGÍAS, SISTEMAS Y HERRAMIENTAS UTILIZADAS Para medir el riesgo de liquidez se construyen Indicadores como el Calce de Plazos, Cálculo de las Reservas, Activos Líquidos,
Liquidez Intrames, modelo regional de liquidez, entre otros. En el aspecto de la medición al riesgo de liquidez en el corto,
mediano y largo plazo, se efectúan los siguientes análisis: el coeficiente de liquidez neta, cumplimiento de la reserva,
indicadores de liquidez legales, calculo y medición del riesgo de tasa de interés, evolución de los resultados de la liquidez por
plazos de vencimiento y la capacidad de respuesta en escenarios de estrés, volatilidad de depósitos, variación de depósitos,
concentración de depósitos y sectores, así como también el seguimiento de indicadores para la medición de la liquidez para la
casa de corredores de bolsa del grupo, Inversiones Bursátiles Credomatic.
La identificación del riesgo de liquidez consiste en un proceso que reconoce los factores de sensibilidad, que al presentar
comportamientos adversos, retardan o aceleran el ingreso o salida de fondos, impactando la liquidez. Se debe cuantificar el
riesgo de liquidez con el objeto de determinar el cumplimiento de las políticas, límites fijados, y medir el posible impacto
económico en los resultados financieros. Para efectos de mitigar el riesgo de liquidez se establecerán controles desarrollados
por la Gerencia de Planificación y Finanzas y el Departamento de Riesgos Financieros de la Gestión Integral de Riesgos.
Durante el año 2015 se presentaron los requerimientos de las Normas Técnicas para la Gestión del Riesgo de Liquidez NRP-
05, el cual consiste en un monitoreo mensual de la liquidez según las premisas elaboradas por la institución y especificaciones
emitidas por la SSF, el resultado de estos indicadores durante el año 2015 fue satisfactorio para la organización, tanto para el
modelo normal como el estresado.
3.3. RESULTADO DE LA EVALUACIÓN EFECTUADA A LA GESTIÓN DE RIESGO DE LIQUIDEZ
El área de auditoria interna realizo el informe DAISALBAC-26/2015 sobre la Evaluación NRP-05 “Normas técnicas para la
Gestión del riesgo de liquidez” con fecha Noviembre 2015.
Objetivo de la auditoria:
a) Evaluar las políticas y controles implementados para el cumplimiento de la normativa NRP-05, emitida por la
Superintendencia del Sistema Financiero.
La calificación del informe es “B” Satisfactoria, esta se asigna a aquellas áreas o procesos en los cuales Auditoria interna
detecta que los controles son apropiados para mantener un nivel razonable de seguridad, la mitigación de riesgos esta en
cumplimiento con los objetivos del negocio, sin embargo se detectaron algunos puntos de mejora, a los cuales la
administración de riesgos les está dando seguimiento.
3.4. PROYECTOS ASOCIADOS A LA GESTIÓN DE RIESGO DE LIQUIDEZ A DESARROLLAR EN 2016 Los objetivos del plan de trabajo para el 2016 son:
- Elaboración de indicadores adicionales de liquidez como el HQLA local.
- Revisión integral de los documentos vigentes concernientes a la gestión del riesgo de liquidez.
| 8 |
4. RIESGO OPERACIONAL
4.1 POLITICAS ACTUALIZADAS PARA LA GESTION DE RIESGO OPERACIONAL
Para el año 2015 y con el propósito de llevar a cabo el proceso de revisión anual de dicha metodología en cumplimiento a lo
dispuesto por la “Normas para la Gestión del Riesgo Operacional de las entidades financieras (NPB4-50), en ese sentido se
expusieron los elementos de la Política y el Manual para la gestión de riesgo operacional, así como las herramientas
relacionadas a la identificación, mitigación, generación de indicadores, evaluación de ambiente, reporte de incidentes y
evaluación de las unidades funcionales, las cuales no presentaron ningún cambio en contenido.
La Gerencia de Gestión Integral de Riesgo y Cumplimiento por medio del departamento de Riesgo Operacional realiza un
seguimiento continuo del desempeño de la gestión y también consolida información para efectos de generar reportes e
informes para escalar en Comité de Riesgo, por tanto se tiene aprobada la estructura y recursos para la Gestión de Riesgo
Operacional por parte de Junta Directiva.
4.2 DESCRIPCION DE METODOLOGIAS, SISTEMAS Y HERRAMIENTAS
BAC| Credomatic El Salvador con el fin de gestionar el riesgo operativo fundamenta su gestión de riesgo operacional en la
reducción de vulnerabilidad y severidad de los riesgos a los que la organización pueda estar expuesta mediante el desarrollo
de un Ciclo de Gestión de Riesgo Operacional, que procura impulsar a nivel de toda la organización la cultura de prevención y
control de este riesgo.
En el presente ciclo, se llevaron a cabo reuniones, capacitaciones, comunicaciones de resultados, reporte de eventos e
incidencias de riesgo operacional a los dueños de unidad funcional como responsables directos, con el propósito de procurar
siempre los mejores resultados en base a plan de trabajo establecido, y siempre procurando disminuir la posibilidad de
pérdidas provocada por factores de riesgo operacional.
Se ha desarrollado una metodología que consiste en proporcionar a los participantes del proceso una guía de acciones a realizar donde se despliega los mecanismos y herramientas que comunican y sirven de referencia a los involucrados tener claro qué hacer, como realizarlo, a quien escalar, con el propósito de asegurar el cumplimiento de las diferentes directrices relacionadas a la gestión. Los principales pilares de la metodología de riesgo operacional que se encuentran aprobadas por Junta Directiva se tienen:
� Política de Gestión de Riesgo Operacional que proporciona las directrices generales, funciones y responsabilidades para la identificación, evaluación, control, monitoreo y reporte de los riesgos operativos que pueden afectar a la organización.
� Manual de Gestión de Riesgo Operacional incluye el desarrollo y despliegue de la Metodología aplicada para la Gestión de Riesgo Operacional.
� Formularios y/o herramientas de trabajo Insumos proporcionados a los gestores de riesgo operacional, que permiten la obtención de la información sobre los riesgos.
� Programas de Capacitación consiste en el despliegue y comunicación de la gestión al personal involucrado directamente en la gestión y a toda la organización para la adopción de cultura de prevención y control del riesgo operacional.
� Reportes y Comunicación tiene por objetivo escalar información sobre resultados del seguimiento de la gestión.
4.3 RESULTADO DE LA EVALUACIÓN EFECTUADA A LA GESTIÓN DE RIESGO OPERACIONAL
Del seguimiento y evaluación del Ciclo de Gestión de Riesgo Operacional se tiene un monitoreo constante, el comparativo de
Avance en la gestión de los cuatro periodos de Evaluación por Unidades Funcionales con entrega de resultados de forma
trimestral y con un entregable al cierre de ciclo, por lo que se puede apreciar el comportamiento y evolución en el logro de
cumplimiento por etapas.
Durante el año 2015 se tuvo una cultura de reporte de fallas por riesgo operacional, donde permitió el registro de 713
eventos de riesgo operacional, que formaron parte del sistema de evaluación y calificación del ciclo de gestión de riesgo
operacional. Para el cierre de dichos reportes se solicitaron realizar acciones de mitigación y/o cambios en los procesos tanto
| 9 |
en forma manual como sistemas para evitar que los eventos vuelvan a ocurrir, en la mayoría de casos no se registraron
pérdidas de riesgo operacional, sino exposiciones de pérdidas que pueden generar pérdidas económicas y pueden o no
afectar el estado de resultados.
El registro de reportes de eventos de riesgo es consolidado por compañías y procesos que ejecutan y se lleva un recuento de
forma mensual y por estatus de atención, donde se evidencia el compromiso de la gestión por parte de las gerencias y
unidades funcionales por área. A nivel de organización se trabajó en programa de capacitación dirigida especialmente a
preparar los enlaces de riesgo operativo, con el objetivo de certificarlos y facultarles en los conocimientos de reporte de
incidencias de riesgo operativo.
El perfil de riesgo operativo de BAC|CREDOMATIC El Salvador al cierre del año 2015 cuenta con 2,404 riesgos identificados en
los 180 procesos que la organización ejecuta; estos resultados son producto de la evaluación y calificación por parte de los
dueños de unidad funcional acorde a la metodología establecida, y está dada en términos de vulnerabilidad y severidad de los
riesgos con relación a los controles implementados que se llevan a cabo para evitar que los riesgos se materialicen.
En el 2015 los riesgos principales representaron un 24% del total de riesgos identificados, de los cuales se ha dado inicio a la
creación de planes de mitigación que comprenden oportunidades de mejora y/o rediseño en procesos, incorporación de
nuevos y/o modificación de controles existentes, documentación de nuevos y/o modificación de procedimientos, diseño de
métodos de atención a servicio al cliente, capacitación constante a colaboradores de los cambios realizados.
El área de auditoria interna realiza el informe DAISALBAC-37/2014 sobre la Evaluación NPB4-50 “Normas para la Gestión de
Riesgo Operacional de la Entidades Financieras” con corte a diciembre 2014 y entrega de informe el 12 de junio 2015.
Objetivo de la auditoria:
a) Evaluar las políticas y controles implementados para el cumplimiento de la normativa NPB4-50, la calificación del
informe es “Requiere Mejoras”, esta se asigna a aquellas áreas o procesos en los cuales Auditoria interna detectó
que si hay controles definidos y en operación, pero se ven oportunidades para fortalecer los controles en aspectos
claves.
Año 2010 Año 2011 Año 2012 Año 2013 Año 2014 Año 2015
Procesos 115 128 160 227 227 180Riesgos 685 1,224 1,735 2,004 2,048 2,404
Riesgos críticos 105 234 470 503 500 501
Riesgos Cubiertos 433 450 318
Eventos e IRO 549 650 1,136 976 798 713
Unidades Funcionales 71 81 106 108 107 113
| 10 |
En atención a los resultados de dicha evaluación el departamento de Riesgo Operacional ha establecido la revisión de resultados de ejecución de control de riesgos principales que permita demostrar que están siendo efectivos de cara a las mediciones y evidencias de control establecidas por cada dueño de riesgo declarado.
4.4 PROYECTOS ASOCIADOS A LA GESTIÓN DE RIESGO DE OPERATIVO A DESARROLLAR EN 2016
Para el 2016 se tiene el compromiso de continuar trabajando en la gestión de riesgo operacional, para proporcionar a los
gestores de riesgo herramientas que faciliten la gestión y permitan seguir construyendo la cultura de riesgo operativo; dentro
de los principales proyectos se tiene:
� Llevar la gestión por procesos y no por unidades funcionales, bajo un enfoque de Gobierno de Procesos.
� Implementación de metodología de evaluación de controles que permita validar las acciones descritas en los
diferentes planes de mitigación de riesgos principales.
� Despliegue de herramienta de administración de riesgo que permita contar con un flujo de administración de todas
las etapas de ciclo de gestión de riesgo operacional.
� Integración de herramienta de reporte de incidentes con el resto de gestiones asociadas dentro de la entidad.
5. RIESGO TECNOLÓGICO
La Gestión de Riesgo Tecnológico tiene como principal objetivo la identificación sistemática de las amenazas y vulnerabilidades asociadas a componentes tecnológicos, que soportan los servicios críticos del negocio. Para lograrlo se establecen directrices corporativas para el análisis, desarrollo, implementación y mantenimiento de la gestión de Riesgo Tecnológico del Grupo Financiero BAC Credomatic (GFBC), coherentes con el plan estratégico de la organización.
Lo anterior en relación a las mejores prácticas definidas en las Normas para la gestión del riesgo operacional de las entidades
financieras (NPB4-50) y la Norma para la gestión integral de riesgos de las entidades financieras (NPB4-47).
Las etapas de la Gestión de Riesgo Tecnológico se presentan a continuación:
5.1 POLÍTICAS ACTUALIZADAS PARA LA GESTIÓN DE RIESGO TECNOLÓGICO
En cumplimiento a lo dispuesto en el art. 6 de la “Norma de Gestión de Riesgo Operacional NPB4-50”, se cuenta con una
Política para la Gestión de Riesgo Tecnológico, la cual tiene aplicabilidad al conglomerado Inversiones Financieras Banco de
América Central, S.A., IFBAC: Banco de América Central, S.A., Credomatic de El Salvador, S.A. de C.V, Inversiones Bursátiles
Credomatic, S.A. de C.V., BAC Leasing, S.A. de C.V.
Establecimiento del contexto de riesgo
tecnológico
Identificación y evaluación de riesgos
tecnológicos
Definición y Seguimiento de Indicadores de
riesgos tecnológicos
Respuesta y Seguimiento a los riesgos tecnológicos
| 11 |
Así mismo, siendo parte del Grupo Financiero BAC | Credomatic Network que opera a nivel regional, requiere que la
administración cumpla con las regulaciones locales, así como también con la alineación al Lineamiento de Riesgo Operativo
Regional, L-CORP-Gestión de Riesgos Operativos –REG-0000031.
5.2 DESCRIPCIÓN DE LAS METODOLOGÍAS, SISTEMAS Y HERRAMIENTAS UTILIZADAS Las metodologías aprobadas están documentadas y publicadas en el repositorio oficial del conglomerado, según se detalla a
continuación:
• Manual Metodología Regional para la Gestión de Riesgo Tecnológico, el cual contiene los siguientes capítulos para su aplicación: I - Estándar Regional para la Identificación y Evaluación de Riesgos Tecnológicos
II - Estándar regional para la creación de planes de mitigación y seguimiento de riesgos tecnológicos
• Manual Operativo para Gestión de Riesgos Operativos del grupo BAC|Credomatic El Salvador, del cual aplican principalmente los siguientes capítulos:
Capítulo 4: Estándar para la Identificación, Evaluación y Monitoreo de Riesgos Operacionales.
Capítulo 6: Estándar para la Creación de Planes de Mitigación y Seguimiento de Riesgos Operacionales.
1) Riesgo Operativo de TI: Gestión de Riesgos en los Procesos La metodología empleada para la gestión de riesgos operativos se desarrolla sobre la base de los procesos pertenecientes a la
Gerencia de Sistemas. Se evalúa y se gestionan los riesgos en base a las mejores prácticas (CobIT), procesos definidos por la
organización, lineamientos y procedimientos.
A continuación se presenta el resumen de los resultados de la gestión en 2015, los cuales fueron identificados por las
jefaturas del área considerando su criterio experto.
RESUMEN DE CICLO DE RIESGO OPERATIVO EN TI CORTE AL 31 DE DIC 2015
UNIDADES FUNCIONALES RIESGOS
IDENTIFICADOS RIESGOS
PRINCIPALES PLANES DE
MITIGACION
OPERACIONES DE SISTEMAS 34 10 8
DESARROLLO DE SISTEMAS 43 14 10
SEGURIDAD DE SISTEMAS 42 9 3
INFRAESTRUCTURA DE TI 44 14 13
ADMINISTRACION DE SERVICIOS DE TI 24 3 1
GERENCIA DE SISTEMAS 7 1 1
TOTAL 194 51 36
Nota: Algunos planes de mitigación cubren más de un riesgo principal.
2) Riesgo Tecnológico : Gestión de Riesgos en los componentes tecnológicos de los Servicios críticos
El alcance de la gestión de riesgos tecnológicos para BAC|CREDOMATIC se basa en los servicios que la organización ha
definido como críticos, por lo que se busca atender los riesgos asociados a los componentes tecnológicos relacionados. A
continuación el resumen de dicha gestión para Banco de América Central en el año 2015:
| 12 |
RESUMEN DE CICLO DE RIESGO TECNOLOGICO DE LOS SERVICIOS CRÍTICOS CORTE AL 31 DE DIC 2015
SERVICIOS CRÍTICOS RIESGOS
IDENTIFICADOS RIESGOS CRÍTICOS
RIESGOS ALTOS
RIESGOS MEDIOS
RIESGOS BAJOS
PLANES DE MITIGACION
DEPOSITOS BANCARIOS 97 2 9 73 13 11
RETIROS BANCARIOS 97 1 10 73 13 11
PPP 16 10
RECEPCION PAGOS PRESTAMOS 19 3
5.3 PROYECTOS ASOCIADOS A LA GESTIÓN DE RIESGO TECNOLÓGICO A DESARROLLAR EN 2016
Las principales metas a desarrollar para cumplir con iniciativas regionales relacionadas con la Gestión de Riesgo Tecnológico
son:
• Despliegue de la herramienta SIXPRO, para control de la Gestión de Riesgo Tecnológico
• Despliegue y transición de la gestión basado en el estándar CobIT 5.0
6. RIESGO DE LAVADO DE ACTIVOS Y FINANCIACIÓN DEL TERRORISMO
El Banco América Central mantiene su compromiso de administrar el riesgo de lavado de activos y financiamiento del terrorismo, a fin de prevenir, detectar y controlar la utilización de nuestros productos y servicios para el movimiento de fondos provenientes de actividades ilícitas. Dentro de las actividades realizadas por la Gerencia de Cumplimiento durante 2015 están: a) Actualización del Manual SARLAFT. Se realizaron actualizaciones a nuestro Manual del Sistema de Administración de Riesgos de Lavado de Activos y Financiamiento al Terrorismo con el fin de robustecer los controles y actualizar las políticas aplicadas, también definir tareas y responsabilidades a desarrollar por las diferentes áreas. b) Plan de Capacitación El plan de capacitación se desarrolló de forma exitosa, la primera fase fue de forma virtual a través de Skillport con la participación del personal, adicionalmente, se desarrollaron una serie de capacitaciones presenciales dirigidas a toda la organización, incluyendo la Junta Directiva, grupo gerencial, áreas de negocio y a nuestros agentes de pago de remesas. c) Monitoreo de operaciones En el área de Monitoreo se gestionaron alertas tanto para áreas de negocio como para el área de Cumplimiento, además se dio seguimiento a los filtros aplicados por el área de negocio. También los analistas de detección ejecutaron monitoreo mediante bases de transacciones para evaluar y mitigar los riesgos de LAFT. d) Visitas a áreas de riesgo. Se realizaron visitas a las áreas de riesgo identificadas, para evaluar la aplicación y efectividad de los controles y procedimientos relacionados al SARLAFT. Durante este mismo año, se ha implementado y calibrado una serie de herramientas tecnológicas para el control, detección y monitoreo de transacciones, y se ha establecido una metodología de reporte a Junta Directiva, Comité de Cumplimiento y los entes reguladores. e) Respuestas a entes reguladores Se dio seguimiento a las respuestas de entes reguladores, en el segundo semestre de 2015 se incrementaron los requerimientos de información en dicha función por lo que se han solicitado desarrollo tecnológico y accesos a información a fin de proveer en tiempo la información solicitada por el ente fiscalizador.
| 13 |
f) Desarrollo de reportes electrónicos Se inició el desarrollo de los reportes electrónicos para enviar a la Unidad de Investigación Financiera, reportes de las operaciones iguales o mayores a $10,000 en efectivo, y los formularios por operaciones por cualquier otro medio igual o mayores a $25,000 g) Comités de Expertos Durante el año 2015 se desarrollaron reuniones de comité de expertos de forma trimestral con el propósito calificar los riesgos detectados por probabilidad e impacto a través del criterio experto de los asistentes y se evaluó la efectividad de los controles establecidos para mitigar los riesgos y evitar que al no cumplirse estos generen pérdidas potenciales para la institución, en las fechas 15 de Enero, 17 de abril, 17 de septiembre y 17 de diciembre de 2015. h) Segmentación estadística. Como institución financiera, BAC|Credomatic debe gestionar los riesgos inherentes a la naturaleza de sus operaciones, servicios y productos. Entre los riesgos más críticos se presentan el Lavado de Activos y el Financiamiento al Terrorismo. Para combatirlos, el grupo debe de adoptar las tecnologías, metodologías y buenas prácticas recomendadas y/o exigidas por la regulación nacional e internacional. La segmentación de factores de riesgo aporta una nueva visión de la problemática fusionando los procedimientos estadísticos y de minería de datos con la experiencia acumulada por el Grupo durante toda su trayectoria en sistema financiero local y regional. Regularmente se escucha el término Segmentación en el mundo del marketing, sin embargo la Superintendencia Financiera de Colombia, por medio del numeral 4.2.2.2.2 de su normativa, ha orientado esta técnica para convertirla en una herramienta anti lavado. La definición que adopta es la siguiente: "Es el proceso por medio del cual se lleva a cabo la separación de elementos en grupos homogéneos al interior de ellos y
heterogéneos entre ellos. La separación se fundamenta en el reconocimiento de diferencias significativas en sus características
(variables de segmentación)".
Cabe entonces preguntarse, ¿Quiénes o cuáles son los individuos que forman los grupos resultantes de dicho proceso? La respuesta es que, en cumplimiento con la NRP-08 emitida por el Banco Central de Reserva, la segmentación se aplica a cuatro dimensiones o factores de riesgo: Jurisdicción, Canales, Productos y Clientes. Las agrupaciones formadas por el proceso de segmentación surgen de un análisis exploratorio de las variables utilizadas para describir a los grupos. En el año 2015, BAC | Credomatic comenzó el proceso de Segmentación bajo el esquema CRISP-DM, una metodología de minería de datos compuesta de 6 etapas iterativas que permiten explotar la información almacenada en nuestras bases de datos . Durante todo el año se trabajó en el desarrollo de las etapas como se describe a continuación: Comprensión del Negocio: En esta etapa se establecieron los objetivos a alcanzar al final del proyecto. Se formaron los equipos de trabajo regionales y locales compuestos por colaboradores expertos en las diferentes áreas involucradas. Se diseñó un plan de trabajo y se dotó de los recursos humanos, tecnológicos y metodológicos necesarios. Comprensión de los datos: Se realizó un recopilación de datos dentro de las fuentes disponibles, tanto internas como externas con el fin de entenderlos, explorarlos y auditar su calidad para verificar qué variables generarían un mayor aporte al proyecto. Preparación de los datos: Una vez seleccionadas las variables se procedió a resumir todos los datos en bruto en una tabla que permitiera realizar el análisis exploratorio por cada una de las perspectivas de los 4 factores de riesgo. A esta tabla resumen se denomina dataset o dataframe. Modelado: El dataframe es el insumo principal para esta etapa. A este se le aplican los diferentes métodos de minería de datos existentes para la formación de clúster o segmentos (Comúnmente se utilizan los algoritmos de clustering jerárquico y no jerárquico). Se seleccionaron los métodos que cumplían con los criterios de evaluación pertinentes. Evaluación: El comité de expertos designados para el proyecto discutió los resultados obtenidos validándolos según su experiencia y análisis. Se procedió a realizar las correcciones y mejoras requeridas y se volvieron a correr modelos cuando fue necesario hacerlo. Despliegue: Una vez validados los resultados se procede a dar mantenimiento a los modelos y explotarlos usando los análisis generados para la toma de decisiones dentro de la organización. El proceso de segmentación no es lineal, sino un ciclo continúo de mejora. Los modelos deben monitorease debido a los cambios constantes de los comportamientos en los factores de riesgos contemplados en el análisis. Proyectos en Segmentación 2016 Actualmente BAC|Credomatic está trabajando en la segunda versión del proyecto. Se ha realizado el análisis FODA de la primera entrega con el propósito de identificar los principales puntos de mejora.
| 14 |
Las modificaciones más importantes que pueden mencionarse son: a) Se desarrollará una manera más intuitiva de interpretar los resultados. El producto final de la segmentación serán matrices de dos ejes sobre los cuales se ubicarán los individuos analizados. Un eje servirá para representar su nivel de impacto (montos transaccionales) y el otro para representar el nivel de riesgo. Ambos ejes en escala de 1 a 5, siendo 5 los valores de mayor impacto y mayor riesgo. b) Cambio de fuente de datos principal; a partir de este año se usará como fuente directa el core bancario. c) Inclusión de nuevas variables que aporten valor al análisis, se han incluido variables que pueden relacionarse con el lavado de dinero. d) Cambios sustanciales en los métodos de modelados; se comenzará a implementar modelos bi-etápicos, es decir de dos etapas. e) Adicionalmente se trabajará con herramientas tecnológicas que permiten examinar los resultados obtenidos de manera efectiva y eficiente generando representaciones visuales que permitan resumir en una sola vista los resultados importantes de la segmentación. Todos estos cambios afinan el proceso y brindan una nueva herramienta que permite realizar un análisis más amplio que ayude en la toma de decisiones pertinentes al combate contra el Lavado de Activos y Financiamiento al Terrorismo integrándola a los sistemas de monitoreo utilizados actualmente.
7. RIESGO REPUTACIONAL
La reputación vista como un conjunto de percepciones y expectativas de los grupos de interés (externos e internos) que para
la gestión del riesgo reputacional de BAC|Credomatic se catalogan en: Clientes, entes reguladores, empleados, proveedores e
intermediarios, accionistas, comunidad/sociedad) es el resultado del comportamiento desarrollado por la empresa a lo largo
del tiempo. Es por ello que dentro de la gestión integral de riesgos, se incluye el Riesgo Reputacional definido como la
posibilidad de pérdidas económicas o no económicas que afectan el prestigio de la entidad derivados de eventos adversos
que trascienden a terceros, en ese sentido la Gestión del riesgo reputacional efectuado en la empresa es el enfoque
estructurado para evitar la ocurrencia o mitigar las consecuencias de estos eventos.
7.1 POLÍTICAS ACTUALIZADAS PARA LA GESTIÓN DE RIESGO REPUTACIONAL
Existen diversas políticas asociadas a la gestión de Riesgo de reputación las cuales han sido aprobadas por la Junta Directiva y
ahora también podrán ser aprobadas por el Comité de la Administración Integral de Riesgos en virtud a lo dispuesto en el
artículo 14 de las N-PB4-48 Normas de Gobierno Corporativo para las Entidades Financieras y las Normas para la Gestión
Integral de Riesgos de las Entidades Financieras NPB4-47, en el artículo 9 literal b.
Entre las políticas establecidas durante el año 2015 se incluyen:
- Lineamiento manejo de la comunicación con medios
- Revisión de promociones, nuevos productos y servicios (Aprobación de proyectos de productos bancarios y
crediticios).
- Lineamiento corporativo de atención al cliente
- Lineamiento para compartir mejores prácticas
- Manual del Sistema de Gestión Ambiental
- Lineamiento de comunicación interna y externa ambientales
- Política para la desvinculación de clientes BAC Credomatic
| 15 |
7.2 DESCRIPCIÓN DE LAS METODOLOGÍAS, SISTEMAS Y HERRAMIENTAS DESARROLLADAS PARA LA
GESTIÓN DEL RIESGO DE REPUTACIÓN.
7.4 PROYECTOS ASOCIADOS A LA GESTIÓN DE RIESGO DE REPUTACIÓN
Para el año 2016 en cuanto a la gestión de riesgo de reputación se tiene proyectado desde dos ejes principales, una
perspectiva regional y una perspectiva local.
Prioridad 1. En cuanto a la “Orientación al cliente” se aseguró el cumplimiento de los siguientes objetivos: 1. Se cuenta con una estructura de apoyo en temas de servicio y transparencia a través de la Gerencia de Servicio al
Cliente.
2. Existe una estructura de apoyo (facilitadores internos-para el desarrollo de cierre de brechas en el modelo de
gestiones) a través de la Gerencia de Servicio al Cliente.
3. La existencia de un proceso para dar seguimiento a las denuncias interpuestas por los clientes ante los reguladores,
a través del área de Servicio al Cliente y Transparencia.
4. La existencia de un proceso para la atención de reclamos y redes sociales en aras de asegurar la protección al
consumidor.
5. Revelación de resultados de Imagen Reputacional ante los Reguladores, a través de la Gerencia de Servicio al
Cliente.
Asimismo, se realizaron algunas tareas orientadas a promover la agilidad en los trámites de la institución mediante el uso de servicios electrónicos y reducir el tiempo de espera en agencias.
Prioridad 2. Sobre el tema de “Ciudadanía”, el trabajo se destinó a visibilizar a BAC|CREDOMATIC como una entidad que invierte en causas sociales y fomenta la educación financiera. En el primer punto, se llevó a cabo una gestión de comunicación del Programa Dona Tu Vuelto a través de redes sociales y medios tradicionales. Dicho programa consiste en una suscripción que permite a los tarjetahabientes destinar el remanente de sus compras ajustadas al próximo dólar a una fundación previamente seleccionada de acuerdo a las opciones ofrecidas por BAC|CREDOMATIC. En cuanto al fomento de la Educación Financiera, se llevaron a cabo las siguientes actividades:
1. Consejos Financieros en Redes Sociales
2. Promover el ingreso al sitio web www.mipresupuestovirtual.com, como una plataforma disponible para organizar
las finanzas de nuestros colaboradores.
3. Promoción de la nueva página de educación financiera
Prioridad 3. La “Solidez” no sólo significa un elemento integrador de la estrategia de gestión del riesgo de reputación, sino la importancia de divulgar las actividades que permiten posicionar a la Compañía como una entidad comprometida con su entorno. A efecto de cumplir con lo anterior, se destinaron esfuerzos para comunicar iniciativas de Responsabilidad Social Corporativa mediante la convocatoria permanente a conferencias de prensa para lanzamientos, promociones y novedades.
Prioridad 4. Sobre la prioridad relacionada a “Innovación” se promovió a BAC|CREDOMATIC como una entidad que se anticipa a la competencia y se promovió el uso de nuevos productos mediante servicios móviles y aplicaciones como:
1. Promo Zone: plataforma virtual que permite a nuestros comercios afiliados actualizar promociones en línea disponibles para nuestros clientes.
2. Recarga Cel: servicio que permite realizar recargas de celulares mediante envío de mensajito y se descuenta al saldo
del tarjetahabiente.
| 16 |
8. RIESGO LEGAL
La gestión de Riesgo Legal constituye un componente asociado a la gestión integral de riesgos cuya valoración depende de las
condiciones del marco regulatorio vigente y de los cambios en la normativa por parte de las autoridades competentes. Por tal
razón podemos clasificar el Riesgo Legal en dos categorías:
(i) Riesgo Legal por vía directa: posibilidad de pérdidas debido al incumplimiento de la legislación que regula los
servicios y contratos financieros o la imposibilidad de exigir el cumplimiento de los contratos por la vía legal; y
(ii) Riesgo Legal por vía indirecta: riesgo de cambio del marco regulatorio por parte de las autoridades
gubernamentales competentes (a nivel local, nacional o internacional) en forma que afecte adversamente la
posición de la entidad financiera.
8.1 POLÍTICAS ACTUALIZADAS PARA LA GESTIÓN DEL RIESGO LEGAL
De conformidad a lo establecido por acuerdo de Junta Directiva, los cuatro pilares de la gestión del Riesgo Legal son los
siguientes:
• Cumplimiento regulatorio (monitoreo de normas vigentes y futuras)
• Gestión del Riesgo Transaccional
• Manejo adecuado de litigios existentes y potenciales
• Manejo de aspectos corporativos (Gobierno Corporativo, Control de poderes, Propiedad intelectual)
Entre las políticas asociadas a la gestión de Riesgo Legal que se encuentran publicadas en el sistema interno de calidad de la
organización se incluyen:
I. Cumplimiento regulatorio
- Inventario regulatorio y matriz de CTC´s (CTC=Critical to compliance: requerimientos legales de alto riesgo).
- Manejo de comunicaciones con entes reguladores y supervisores.
- Manual de Manejo de expedientes (Requisitos de apertura de productos)
II. Gestión del riesgo transaccional
- Lineamiento de Apertura de Cuentas de ahorro y corriente.
- Lineamiento para la Apertura de Certificado de depósito a plazo.
- Lineamiento para la recepción de cheques del exterior.
- Lineamiento para el otorgamiento de créditos de consumo.
- Manual para el otorgamiento de tarjetas de crédito.
- Lineamiento para solicitud, creación y liquidación de préstamos con el exterior
III. Manejo adecuado de litigios existentes y potenciales
| 17 |
- Procedimiento para atender riesgos asociados a litigios, juicios, condiciones contractuales y otros aspectos
legales.
- Procedimiento para monitorear el cumplimiento de tiempos y alcances de las actividades realizadas.
- Manual para la entrega de documentos legales para iniciar juicios.
- Manual sobre embargo de bienes.
- Manual para el traslado de vehículos que quedan en calidad de depósito judicial.
- Manual para adjudicaciones en pago.
IV. Manejo de aspectos corporativos
- Código de Gobierno Corporativo.
- Aprobación de proyectos de productos bancarios y crediticios.
- Lineamiento de obligaciones y responsabilidades de los accionistas de las sociedades del Conglomerado
financiero BAC-Credomatic.
- Procedimiento para cumplimiento de requerimientos de derechos de autor, privacidad y comercio electrónico.
8.2 DESCRIPCIÓN DE LAS METODOLOGÍAS, SISTEMAS Y HERRAMIENTAS DESARROLLADAS PARA LA
GESTIÓN DE RIESGO LEGAL.
El proceso de gestión del Riesgo Legal incluye las siguientes metodologías, sistemas y herramientas:
1. Repositorio consolidado para documentos legales: constituye una unidad de red conacceso restringido donde se resguarda información electrónica de documentosmercantiles, actas de comités de Gobierno Corporativo e información generalrelacionada con las sociedades y los accionistas del grupo financiero a nivel local.
2. Sistema de Información de Cumplimiento: Constituye una plataforma para el envíode consultas por parte de las áreas de negocio y otras áreas de control que permiteemitir opinión sobre consultas relacionadas con lanzamientos de promociones, nuevosproductos o servicios, modificaciones a contratos, y consultas sobre requisitos deapertura de cuentas previo a la celebración de los contratos de apertura de productosbancarios, entre otros.
3. Módulo de Control de comunicaciones con entes reguladores y supervisores:constituye una herramienta que consolida las solicitudes y requerimientos recibidos enla entidad por parte de los reguladores y supervisores y permite su distribuciónmediante notificación electrónica a los correos de las áreas encargadas de su gestiónpara su oportuna respuesta.
4. Informes periódicos sobre Sesiones de comités de Gobierno Corporativo: se realizauna revisión trimestral a la información de las sesiones de Comités de Gobiernocorporativo con la finalidad de identificar puntos de mejora en relación a aspectoscomo: envío de convocatorias, cumplimiento de la periodicidad, asistencia de losmiembros, claridad en la redacción de las actas y cumplimiento de funciones, entreotros.
5. Actualización de información de Gobierno Corporativo en sitio web: en cumplimientoa lo establecido en el Art. 23 de las NPB 4-48, se realiza un monitoreo periódico de lainformación que se debe incorporar al sitio web en el apartado de GobiernoCorporativo, para mantener un registro actualizado de la misma y/o notificar a las áreas
encargadas para gestionar su actualización.
| 18 |
8.3 PROYECTOS ASOCIADOS A LA GESTIÓN DE RIESGO LEGAL
Los proyectos para la gestión de Riesgo Legal en el período 2016 consisten en mantener el monitoreo de los nuevos
productos y servicios de la entidad mediante el Sistema de Información de Cumplimiento, dar seguimiento a la efectiva
respuesta de Oficios y requerimientos de información por parte de las autoridades competentes y los entes reguladores y a la
gestión de Gobierno Corporativo de las diferentes entidades del grupo financiero. Además de ello se realizará una revisión de
las políticas existentes para verificar la validez de todos los contratos, addendums y actos jurídicos que emite la entidad en
consistencia a lo establecido en el artículo 15 de la NPB4-50 Normas para la Gestión del Riesgo Operacional de las Entidades
Financieras.
9. CONTINUIDAD DEL NEGOCIO
Gestión de Continuidad de Negocios.
Los planes de Continuidad de Negocios están documentados y disponibles para el personal correspondiente en el Manual
Operativo Local “Plan de Continuidad del Negocio GFBC”, donde se establece para cada servicio crítico, según el alcance de
Continuidad de Negocios aprobado, la siguiente estructura de control:
• Identificación de eventos de riesgos.
• Control de registros y documentación.
• Control de cambios y versiones.
• Vigencia y aprobación
9.1 POLÍTICAS ACTUALIZADAS PARA LA GESTIÓN DE CONTINUIDAD DEL NEGOCIO
La Política de Continuidad de Negocios se encuentra disponible a todas las empresas del conglomerado Inversiones
Financieras Banco de América Central, S.A. IFBAC: Banco de América Central, Credomatic de El Salvador,
Inversiones Bursátiles Credomatic, S.A. de C.V., BAC Leasing, S.A. de C.V.
Adicionalmente se cuenta con una Política de Continuidad de Negocios que aplica regionalmente a todos los miembros de
BAC Credomatic Network, la cual fue aprobada en sesión JD-07/2015 de La Junta Directiva a fin responder de forma unificada
a la visión del Grupo, sin perjuicio de los requerimientos locales de nuestra Legislación.
Alcance de Continuidad de Negocios
1.1 Alcance a nivel de Conglomerado:
Aplica a todas las empresas del conglomerado IFBAC: Banco de América Central, Credomatic de El Salvador, Inversiones
Bursátiles Credomatic, S.A. de C.V., BAC Leasing, S.A. de C.V.
1.2 Alcance a nivel de Servicios Críticos:
• Banco de América Central: Pago de Retiros, Recepción de Depósitos, Recepción de pagos de préstamos BAC, Desembolsos de Créditos Banca de personas y Banca de Empresas, Cobranza BAC, Pago de Planillas y Proveedores, Transferencias/SEC, Compensación Interbancaria, Reportería financiera/ Cierre contable diario Banco
• Credomatic de El Salvador: Autorizaciones, Recepción de pagos de tarjeta de crédito, Pago a Comercios Afiliados, Cobranza Credomatic y Remesas Credomatic.
• Inversiones Bursátiles Credomatic: Recepción de Depósitos y Pago de Retiros.
Aprobado por Comité de Riesgo Operativo en sesión desarrollada en el mes de mayo 2015 y ratificado por los miembros de
Junta Directiva en sesión de septiembre 2015.
Visibilidad de la Gestión de Continuidad de Negocios y Compromiso de la Alta Gerencia.
Como parte del compromiso de la Alta Gerencia se designa como responsable de la política de Continuidad de Negocios y
puesta en práctica de la Gestión de Continuidad de Negocios a la Jefatura de Continuidad de Negocios y Gestión de Riesgos.
Asimismo, se confirman los foros para la presentación de resultados de dicha gestión, según periodicidad establecida en el
Código de Gobierno Corporativo:
| 19 |
• Administración Superior: Continuidad del Negocio participa en los Comités de Riesgo Operativo,
• Junta Directiva: Continuidad del Negocio se presenta a través del Gerente de Gestión Integral de Riesgos y
Cumplimiento.
El Comité de Riesgo Operativo celebrado en Marzo 2015 ratificó que la ejecución de la Gestión se realice en tres áreas y
designando a los responsables de su ejecución:
• Gestión de Continuidad de Negocios GNC: Rocío de Menjívar, Jefe de Continuidad de Negocios y Gestión de Riesgos.
• Plan de Emergencias: Álvaro Flamenco, Gerente de Recursos Humanos • Continuidad de Tecnología: Marco Gamero, Gerente de Sistemas.
9.2 DESCRIPCIÓN DE LAS METODOLOGÍAS, SISTEMAS Y HERRAMIENTAS UTILIZADAS La Gestión de Continuidad de Negocios está siendo desarrollado en base a las mejores prácticas del estándar del BSI 25999 y
el estándar internacional ISO 22301:2012, "Societal security -- Business continuity management systems --- Requirements",
(Currently in development). Este último en proceso de implementación.
Se presenta a continuación el esquema que dicho estándar recomienda:
Al cierre del año 2015, la Gestión de Continuidad de Negocios, de acuerdo a evaluación realizada por la Gerencia Regional de
Excelencia Operativa de BAC| CREDOMATIC Network. Se anexan resultados correspondientes al ejercicio 2015, siendo el
puntaje obtenido: 100%
Detalle a continuación:
9.3 RESULTADO DE LA EVALUACIÓN EFECTUADA A LA GESTIÓN DE CONTINUIDAD DEL NEGOCIO
El área de auditoria interna realizó el informe DAISALBAC- 10/2014 - Plan de Continuidad de Negocio con fecha 15 de Agosto de 2014 y Seguimiento a Enero 15 Objetivos de Auditoría:
a) Evaluar el modelo de análisis de riesgo utilizado por continuidad de negocio para la definición de los niveles de criticidad de servicios, y la alineación de los planes DRP (2R) de TI. b) Evaluar el desarrollo, implementación y mantenimiento (mejoras) de los planes de contingencia de TI.
CN- El Salvador
100 100 100 100 100 97 100 100 100 100 100 100
2% 100
56% 100 100 100 100 100 98 100
7% 100 50 100
16% 100 100 100 100 100 100 100 100 100 100
3%
13% 100 100 100 100 100 100 100 100 100 100 100 100
3% 100 100 100 100 100 100 100 100 100 100
AGO SET OCT NOV DICJULENE FEB MAR ARB MAY JUN
Calificación Global
Realizar análisis GAP en Gestión de
Continuidad
Aplicación de BIA´s Locales
Programa de pruebas
Gestión de Incidentes
Concientización y Capacitación
Prueba de recorrido
Atención al cronograma de actividades anual
con la oficina regional.
| 20 |
c) Evaluar los programas de concientización y capacitación del personal que participa en los planes de recuperación de TI. d) Evaluar que la estrategia integral de recuperación del servicio de TI, documentada en el plan 2R, haya sido implementada de acuerdo con los requerimientos y las necesidades del negocio de continuidad de sus servicios. e) Evaluar la estrategia y documentación de los planes de pruebas de recuperación del servicio f) Evaluar la estrategia de comunicación de crisis y coordinación con dependencias externas.
La calificación del informe es “B” Satisfactoria, esta se asigna a aquellas áreas o procesos en los cuales Auditoria Interna detecta que los controles son apropiados para mantener un nivel razonable de seguridad, la mitigación de riesgos está en cumplimiento con los objetivos del negocio, sin embargo se detectaron algunos puntos de mejora, a los cuales la administración de riesgos les ha dado seguimiento.
9.4 PROYECTOS ASOCIADOS A LA GESTIÓN DE CONTINUIDAD DEL NEGOCIO A DESARROLLAR EN 2016
En coherencia con el plan de trabajo regional, la Gestión de Continuidad de Negocios continuará su alineamiento a los
requerimientos de la 22301:2012 Seguridad de la sociedad – Sistemas de gestión de la CN. Estos esfuerzos han sido
plasmados en el plan 2016.
1. Implementación del sistema de Gestión de Continuidad de Negocios en conformidad con el estándar ISO:22301 2. Concientización y Capacitación. Plan de educación virtual dirigido al 100% de la Organización. 3. Programa de Pruebas de Continuidad de Negocios, alcance a nivel de servicios críticos.
top related