informe de gestión integral de riesgos banco de américa

Anuncio
INFORME DE GESTIÓN INTEGRAL DE RIESGOS
BANCO DE AMÉRICA CENTRAL, S.A.
AÑO 2014
Tabla de contenido
I.
ESTRUCTURA ORGANIZATIVA PARA LA GESTIÓN INTEGRAL DE RIESGOS ................................... 2
II.
DETALLE DE LOS PRINCIPALES RIESGOS ASUMIDOS POR LAS ACTIVIDADES DE LA ENTIDAD ...... 3
1.
RIESGO DE CRÉDITO ................................................................................................................. 4
2.
RIESGO DE MERCADO ............................................................................................................... 6
3.
RIESGO DE LIQUIDEZ................................................................................................................. 7
4.
RIESGO OPERACIONAL .............................................................................................................. 9
5.
RIESGO TECNOLÓGICO ........................................................................................................... 18
6.
RIESGO DE LAVADO DE ACTIVOS Y FINANCIACIÓN DEL TERRORISMO ..................................... 21
7.
RIESGO REPUTACIONAL .......................................................................................................... 22
8.
RIESGO LEGAL......................................................................................................................... 24
9.
CONTINUIDAD DEL NEGOCIO .................................................................................................. 26
|1|
BANCO DE AMÉRICA CENTRAL, S.A.
Miembro BAC | CREDOMATIC NETWORK
INFORME DE LA EVALUACIÓN TÉCNICA DE LA GESTIÓN INTEGRAL DE RIESGOS
AÑO 2014
I.
ESTRUCTURA ORGANIZATIVA PARA LA GESTIÓN INTEGRAL DE RIESGOS
Estructura de Gestión de Riesgos a nivel de comites y areas involucradas
Continuidad
de Negocios
|2|
Estructura de Gestión, Gerencia Integral de Riesgos y Cumplimiento
Gerente de Gestión
Integral de Riesgos
y Cumplimiento
Riesgos Financieros
Contraloría de
Créditos
Riesgo Operacional
Oficina de
Cumplimiento
Continuidad de
Negocios
Analistas de
Detección y Análisis
Riesgo de Crédito y
Concentración
Analistas
Analistas de Riesgo
Operacional
Riesgo de Mercado
y Liquidez
Analista de Riesgos
SARLAFT
Analista de Riesgo
Tecnológico y de
Continuidad de Negocios
Control y
Prevención
Oficial de Seguridad
de la Información
Riesgo Legal y
Reputacional
Analista
Tecnológico
II.
•
•
•
•
•
•
•
•
•
DETALLE DE LOS PRINCIPALES RIESGOS ASUMIDOS POR LAS ACTIVIDADES DE LA
ENTIDAD
RIESGO DE CRÉDITO
RIESGO DE MERCADO
RIESGO DE LIQUIDEZ
RIESGO OPERACIONAL
RIESGO TECNOLÓGICO
RIESGO DE LAVADO DE ACTIVOS Y FINANCIACIÓN DEL TERRORISMO
RIESGO REPUTACIONAL
RIESGO LEGAL
RIESGO DE CONTINUIDAD DEL NEGOCIO
|3|
1. RIESGO DE CRÉDITO
El Riesgo de Crédito se define como el riesgo derivado de la incertidumbre de la capacidad del deudor frente a sus
obligaciones contractuales. Este surge cuando los flujos de caja comprometidos por préstamos y valores pueden no ser
pagados oportuna o totalmente según lo estipulado en el contrato, resultando así una perdida financiera para el banco.
El Departamento de Riesgos Financieros, mediante la Gestión de Riesgo de Crédito, se encarga del proceso de identificación,
medición, monitoreo, control y divulgación del Control de Riesgo de Crédito, en el conjunto de objetivos, políticas,
procedimientos y acciones establecidas por el banco para este propósito.
El Riesgo de Crédito se maneja a través de políticas y lineamientos relacionados con la Gestión de Riesgo de Crédito. La
Gerencia de Riesgos es la encargada de analizar la situación de los clientes que poseen los diferentes tipos de cartera: Banca
de Personas, Banca PYME y Banca Corporativa. Éstas a su vez poseen lineamientos para mitigar los riesgos.
Una de las herramientas utilizadas para la evaluación de Riesgo de Crédito es la “Simulación de Escenarios de Estrés”, que se
lleva a cabo al menos cada seis meses, realizando una simulación de escenarios adversos en la Carteras Corporativas y
Carteras de Personas, incluida la tarjeta de crédito, dichas simulaciones son realizadas por la Dirección Regional. Asimismo, el
Departamento de Riesgos Financieros realiza las pruebas para la cartera hipotecaria de manera trimestral. Los resultados son
expuestos a las Unidades de negocio para que tomen en consideración tales resultados en sus decisiones comerciales.
Además, dicho análisis permite obtener una variedad de escenarios que faciliten al Banco desarrollar y ajustar sus propuestas
de negocio y establecimiento de políticas.
El ciclo de Gestión de Riesgo de Crédito utilizado por la Entidad es el siguiente:
Identificacion del Riesgo de Crédito y Concentrancion.
Medicion del Riesgo de Crédito y Concentracion.
Mitigacion del Riesgo de Crédito y Concentracion.
Seguimiento y Control del Riesgo de Crédito
Monitoreo del Riesgo de Crédito y Concentracion.
Regimen de Provisiones
Simulacion de Escenarios de Estres.
1.1.
POLÍTICAS ACTUALIZADAS PARA LA GESTIÓN DE RIESGO DE CRÉDITO
La Política de la Gestión de Riesgo de Crédito y Concentración fue aprobada por la Junta Directiva, y consta en Acta JD18/2012, celebrada el 12 de septiembre de 2012, tal como lo establece la NPB4-49 en el Artículo 4. La Junta Directiva, dando
cumplimiento al Artículo 7 literal d) de NPB4-47, aprobó dicha política, quedando en vigencia por tiempo indefinido.
La Política de Gestión de Riesgo de Crédito y Concentración tiene como finalidad permitir mediante los procedimientos del
Banco, la identificación de riesgos de crédito mediante un estudio cuidadoso y concreto, de las características de los clientes
dentro del contexto o industria en el que se desenvuelven, así como realizar análisis para determinar cuáles son los riesgos de
nuevos productos y los inherentes a la cartera que ya se tiene.
Se tienen un manual de Gestión de Riesgo de Crédito y Concentración que engloba y documenta los procesos que se realizan
para el cumplimiento del ciclo de gestión.
|4|
1.2.
DESCRIPCIÓN DE LAS METODOLOGÍAS, SISTEMAS Y HERRAMIENTAS UTILIZADAS
El proceso de otorgamiento de crédito se divide en dos áreas, una es el proceso para créditos de banca de persona y la otra es
créditos de empresas.
En banca de personas el proceso se desarrolla en una herramienta automática llamada Mantiz, en el work-flow de Mantiz se
integran tres motores, el de pre-valuación, buros (interno y Superintendencia del Sistema Financiero) y oferta comercial.
En la pre-valuación se han parametrizado las políticas de créditos que define la Gerencia de Riesgo en conjunto y con el aval
de la alta dirección referente a perfil demográfico del cliente, apetito de riesgo, capacidad de pago, normativa emitida por los
reguladores, entre otros, los cuales se ajustan en el tiempo de acuerdo a las necesidades de los grupos de interés relevantes
para la institución, y que se encuentran detalladas en el L-BAC- Manual de Políticas de Riesgo de Créditos Banca de PersonasSAL-0000226 (v2), en el lineamiento para el otorgamiento de créditos de consumo de banca de personas (v16).
El buró interno extrae información interna y externa disponible en la SSF, que se utiliza para evaluar el comportamiento y
experiencia crediticia del solicitante. El motor de oferta comercial contiene las condiciones bajos las cuales se generará el
crédito de acuerdo al perfil del cliente, y posteriormente pasa al nivel de aprobación que corresponda a cada caso.
El otorgamiento de créditos de empresas se define por un instrumento que es el Memorándum de Crédito (MC). El proceso
inicia por la prospección del cliente, actividad realizada por el área de negocio. Posteriormente se realiza el análisis de
capacidad de pago y factibilidad de otorgar el crédito por la Gerencia de Riesgo, aplicando las políticas definidas para este
sector, las cuales se encuentran detalladas en el L- BAC- Manual de Políticas Créditos Empresariales –SAL- 0000192 y en el
Manual Operativo de Factoraje, Contraloría de Créditos es quien valida y da seguimiento al cumplimiento de las políticas,
concluyendo con el desembolso realizado por el área de operaciones. Una vez originada la relación crediticia se le da
seguimiento consistente en la actualización de sus estados financieros y visitas que permiten a la institución asegurar el
cumplimiento de las obligaciones del cliente con el banco.
En conjunto a las políticas y condiciones aplicadas a los créditos de banca de persona y de empresa, que se encuentran
publicados en el módulo de gestión de calidad de la institución por medio de lineamientos y manuales operativos que han
sido diseñados, revisados y aprobados por las autoridades correspondientes, también se aplica las políticas y lineamientos
referentes a los límites de concentración y cálculo de reservas para cada cartera.
Para los créditos de banca de empresas, el cálculo de la provisión se realiza por medio del análisis de los estados financieros a
partir de los cuales se obtiene el índice “IRRBAC”, que establece un puntaje de acuerdo a la información suministrada, y este
se convierte en un CRR, el cual asigna una calificación a cada empresa que puede estar entre 1 y 9. A partir de esta calificación
se realiza la provisión para cada crédito.
Otra herramienta que se utiliza es el dashboard de concentración, mensualmente se mide la evolución de la exposición por
tipo de cartera y sector económico, para esto la Junta Directiva ha aprobado niveles máximos de tolerancia y se monitorea
para poder alertar a las áreas de riesgos y de negocio cuando la institución se está acercando o se han sobrepasado los
umbrales que han sido definidos como el apetito de riesgo.
1.3.
RESULTADO DE LA EVALUACIÓN EFECTUADA A LA GESTIÓN DE RIESGO DE CRÉDITO
Se han realizado evaluaciones por la Dirección Regional de Riesgos del Grupo para la aprobación y desarrollo de Políticas y
revisiones por parte de Auditoria interna.
1.4.
PROYECTOS ASOCIADOS A LA GESTIÓN DE RIESGO DE CRÉDITO A DESARROLLAR EN 2015
En cumplimiento con la gestión integral de riesgos se ha programado la implementación de diferentes indicadores y
herramientas que enriquezcan el análisis del riesgo crediticio en los diferentes portafolios entre ellos estas:
|5|
•
•
•
Implementación de indicadores para portafolio Pyme y Personas.
Elaboración de Stress Test Corporativo y Tarjeta de Crédito.
Elaboración de “Dashboard” de indicadores de Riesgo de Crédito como el First Payment Default, Cancelación de
créditos por prepago.
2. RIESGO DE MERCADO
El Riesgo de Mercado se define como la posibilidad que el Banco incurra en pérdidas como resultado de los cambios en los
precios de mercado de los instrumentos financieros en que mantiene exposiciones dentro o fuera del balance.
Se estableció la siguiente estructura para la Gestión de Riesgo de Mercado, la cual fue aprobada en Junta Directiva, donde el
Departamento de Riesgos Financieros controla el riesgo, informando el desempeño y desviaciones, para efectos de generar
reportes e informes que se presentan en el Comité ALICO Local. La política de Gestión de Riesgo de Mercado fue aprobada
en sesión 04/2014 celebrada el 14 de octubre de 2014, con vigencia a partir de esa fecha.
2.1.
POLÍTICAS ACTUALIZADAS PARA LA GESTIÓN DE RIESGO DE MERCADO
La institución cuenta con una Política de Inversiones a nivel regional que establece una serie de controles y parámetros que
toman en cuenta la calificación y calidad de los emisores, límites específicos de inversión y la diversificación de los portafolios
del grupo.
Para el monitoreo y control de la gestión de riesgo de mercado se han identificado los límites establecidos en la “Política de
liquidez e inversión” y la “Política de Gestión de Riesgo de Mercado” la cual se utiliza para la administración de las
operaciones de la tesorería del banco.
2.2.
DESCRIPCIÓN DE LAS METODOLOGÍAS, SISTEMAS Y HERRAMIENTAS UTILIZADAS
El proceso de monitoreo y medición del riesgo se realiza a través del seguimiento de los procesos de ejecución y liquidación
de las negociaciones de los instrumentos de inversión, de esta manera el Middle Office en el proceso de inversiones, previo a
|6|
la autorización, se revisan las condiciones de la inversión y posterior a la negociación se verifica que la inversión se haya
cerrado y contabilizado de acuerdo a lo aprobado y se verifica la inclusión de la compra en el Módulo de Administración y
Control de la Cartera de Inversión.
Posteriormente, se verifica la aplicación de la política y se calcula el riesgo de tasa de interés en inversiones de portafolio y se
realizan las pruebas de stress. Los resultados se presentan de forma mensual en el Comité de Activos y Pasivos y en el Comité
de Administración Integral de Riesgo. Además se utiliza el modelo de GAP de tasas para la medición de los activos y pasivos
sensibles a cambios de tasas.
Se revisa el Indicador de Riesgo de Tasa de Interés de manera diaria, con base en la metodología que pondera el valor de
mercado de las inversiones con relación a las duraciones modificadas y los factores de sensibilidad estimados a cambios de
tasa diario. Se realiza también una revisión de las operaciones diarias para detectar la posibilidad de estar fuera del rango de
precios de transacción.
De los controles que se monitorean al observar una variación fuera de los límites establecidos por política se activan alertas
para las unidades y comités competentes.
Asimismo se da un seguimiento diario a los indicadores de control para IBC.
2.3.
RESULTADO DE LA EVALUACIÓN EFECTUADA A LA GESTIÓN DE RIESGO DE MERCADO
Como parte del plan de trabajo, en el presente ciclo se llevaron a cabo Auditorías para verificar la capacidad de los controles
creados para el buen funcionamiento del Middle-Office en las operaciones bursátiles.
La institución se encuentra comprometida con el cumplimiento de normativas y regulaciones por lo que se cumple con la Ley
Sarbenes Oxley y uno de los principales controles que se tiene en la medición del riesgo de mercado es de carácter SOX, el
cual ha sido aprobado por el Líder SOX para ser elaborado dentro de la Matriz de Tesorería que otorga responsabilidades
específicas a la gestión integral de riesgos. Dicho control también ha sido evaluado por auditoria interna.
2.4.
PROYECTOS ASOCIADOS A LA GESTIÓN DE RIESGO DE MERCADO A DESARROLLAR EN 2015
Para el 2015 el principal reto es la automatización del Valor en Riesgo de las inversiones por medio del sistema Bloomberg
para dar seguimiento a las distintas inversiones, permitiendo un mejor detalle de cada título y su descripción actualizada.
3. RIESGO DE LIQUIDEZ
La institución tiene como filosofía cumplir con sus obligaciones contractuales de tal manera que los acreedores puedan tener
acceso a sus recursos en el momento establecido. Para ello se han implementado herramientas que permiten medir la
volatilidad de los depósitos, suficiencia de reservas de liquidez y adecuado manejo de los fondos líquidos, para utilizarlos de la
manera más eficiente, tomando en cuenta los cambios en el entorno que pudieran dificultar la disponibilidad inmediata de
fondos.
Entre las actividades que se realizan para una adecuada Gestión de Riesgo de Liquidez se encuentran:
•
Revisión de la política, estrategia, metodología para identificar, medir, monitorear, controlar, mitigar y divulgar el
riesgo de liquidez y someter a consideración del Comité de Administración Integral de Riesgos.
•
Revisión del Plan de contingencia para gestionar el riesgo de liquidez en situaciones adversas extremas, y someter a
consideración del Comité de Administración Integral de Riesgos.
•
Revisión del Manual para la gestión de riesgo de liquidez, donde se establece los procedimientos y responsables en
la gestión de la liquidez.
•
Implementación de un sistema de flujo de información basado en reportes objetivos y oportunos, que permita
analizar las exposiciones al riesgo de liquidez y el cumplimiento de los límites.
•
Análisis de las condiciones del entorno económico, de la industria y de los mercados en los que opera y sus efectos
en la posición del riesgo de liquidez.
•
Realización periódica del análisis de estrés de las exposiciones al riesgo de liquidez, incorporando señales de
deterioro por los análisis.
•
Cumplir con los requerimientos que la Superintendencia del Sistema Financiero realiza en materia de liquidez.
|7|
3.1.
POLÍTICAS ACTUALIZADAS PARA LA GESTIÓN DE RIESGO DE LIQUIDEZ
Durante el año 2014, la Junta Directiva aprobó la actualización del Plan de Contingencia de Liquidez, el cual establece los roles
y responsabilidades ante un evento de contingencia, eventos que activas el plan, fuentes de fondeo interna y externas como
alternativa ante una eventual crisis, procedimientos para administrar la crisis y canales de comunicación que deben utilizarse
El plan mantiene la congruencia con lo establecido en la política de gestión de riesgo de liquidez aprobada en el 2012 y con el
manual de liquidez. Dicho plan se desglosa de la siguiente manera:
En el manual se definen las áreas involucradas y los roles y responsabilidades en la toma del riesgo, en las acciones para
mitigarlo y monitorearlo. También se establece la documentación y procedimientos que se deben seguir para la prudente
actuación en el proceso de identificación, medición, monitoreo y mitigación del riesgo de liquidez.
El Manual se compone de la siguiente información:
La Junta Directiva, dando cumplimiento al Artículo 7 literal d) de la NPB4-47 y al Artículo 5 literal b) de la NRP-05, aprobó la
actualización del Plan de Contingencia en sesión 04/2014 celebrada el 14 de octubre de 2014, con vigencia a partir de esa
fecha y el Manual de Liquidez entro en vigencia a partir del 01 de octubre 2013.
3.2.
DESCRIPCIÓN DE LAS METODOLOGÍAS, SISTEMAS Y HERRAMIENTAS UTILIZADAS
Para medir el riesgo de liquidez se construyen Indicadores como el Calce de Plazos, Cálculo de las Reservas, Activos Líquidos,
Liquidez Intrames, modelo regional de liquidez, entre otros. En el aspecto de la medición al riesgo de liquidez en el corto,
mediano y largo plazo, se efectúan los siguientes análisis: el coeficiente de liquidez neta, cumplimiento de la reserva,
indicadores de liquidez legales, calculo y medición del riesgo de tasa de interés, evolución de los resultados de la liquidez por
|8|
plazos de vencimiento y la capacidad de respuesta en escenarios de estrés, volatilidad de depósitos, variación de depósitos,
así como también el seguimiento de indicadores para la medición de la liquidez para la casa de corredores de bolsa del grupo,
Inversiones Bursátiles Credomatic.
La identificación del riesgo de liquidez consiste en un proceso que reconoce los factores de sensibilidad, que al presentar
comportamientos adversos, retardan o aceleran el ingreso o salida de fondos, impactando la liquidez. Se debe cuantificar el
riesgo de liquidez con el objeto de determinar el cumplimiento de las políticas, límites fijados, y medir el posible impacto
económico en los resultados financieros. Para efectos de mitigar el riesgo de liquidez se establecerán controles desarrollados
por la Gerencia de Planificación y Finanzas y el Departamento de Riesgos Financieros de la Gestión Integral de Riesgos.
El proceso de monitoreo consiste en la evaluación continua de las posiciones de riesgo de liquidez asumidas, así como al
funcionamiento de todo el sistema de gestión del riesgo de liquidez.
Durante el año 2014 se presentaron los requerimientos de las Normas Técnicas para la Gestión del Riesgo de Liquidez NRP05, el cual consiste en un monitoreo mensual de la liquidez según las premisas elaboradas por la institución y especificaciones
emitidas por la SSF, el resultado de este informe al cierre del 2014 fue satisfactorio para la organización.
3.3.
RESULTADO DE LA EVALUACIÓN EFECTUADA A LA GESTIÓN DE RIESGO DE LIQUIDEZ
Se realizó revisión por parte de Auditoría para verificar el correcto funcionamiento de los procesos, de la información y
análisis efectuados a la fecha, y de la correcta segregación de funciones, destacando la vital separación de Front, Middle y
Back Office.
3.4.
PROYECTOS ASOCIADOS A LA GESTIÓN DE RIESGO DE LIQUIDEZ A DESARROLLAR EN 2015
Los objetivos del plan de trabajo para el 2015 son:
Elaboración de indicadores adicionales de liquidez como el IGL Indicador Global de Liquidez.
Revisión integral de los documentos vigentes concernientes a la gestión del riesgo de liquidez.
4. RIESGO OPERACIONAL
4.1.
DEFINICION DE LA ESTRATEGIA UTILIZADA PARA LA GESTION DE RIESGO OPERACIONAL
Para BAC CREDOMATIC la estrategia utilizada en la gestión de riesgo operacional es basada en los procesos de identificación,
evaluación, mitigación, control, reporte de incidentes, monitoreo y comunicación (generación de información gerencial) de
riesgos en un ciclo continúo. Estos procesos son desarrollados de forma descentralizada en las áreas funcionales, siguiendo
los estándares definidos por la Unidad Integral de Riesgo, de tal manera que el dueño de los riesgos es el gerente de área
correspondiente, quien debe certificar toda evaluación de riesgos y controles.
La Gerencia de Gestión Integral de Riesgo y Cumplimiento por medio del departamento de Riesgo Operacional realiza un
seguimiento continuo del desempeño de la gestión y también consolida información para efectos de generar reportes e
informes para escalar en Comité de Riesgo, por tanto se tiene aprobada la estructura y recursos para la Gestión de Riesgo
Operacional por parte de Junta Directiva.
4.2 DETALLE DE METODOLOGIA EMPLEADA PARA LA GESTION DE RIESGO OPERACIONAL
Credomatic El Salvador con el fin de gestionar el riesgo operativo fundamenta su gestión de riesgo operacional en la
reducción de vulnerabilidad y severidad de los riesgos a los que la organización pueda estar expuesta, y sobre todo en
impulsar a nivel de toda la organización la cultura de prevención y control de este riesgo.
Por tanto, se implementa el desarrollo de un Ciclo de Gestión de Riesgo Operacional que incluye las siguientes etapas:
|9|
1.
2.
3.
4.
5.
6.
Identificación, evaluación y monitoreo de riesgos.
Mitigación de los principales riesgos operativos.
Evaluación de controles del proceso.
Medición de riesgos y reportes de incidentes.
Gestión del ambiente de control.
Generación de reportes.
Todo lo anterior es un proceso continuo dentro de la organización. Cada uno de los procesos mencionados se realiza de
forma descentralizada en cada una de las unidades funcionales, con estándares definidos y aprobados por Junta Directiva y
como responsable de implementación Unidad Integral de Riesgo| Riesgo Operacional.
Para ello, se ha desarrollado una metodología que consiste en proporcionar a los participantes del proceso una guía de
acciones a realizar donde se despliega los mecanismos y herramientas que comunican y sirven de referencia a los
involucrados tener claro qué hacer, como realizarlo, a quien escalar, con el propósito de asegurar el cumplimiento de las
diferentes directrices relacionadas a la gestión.
Para el año 2014 y con el propósito de llevar a cabo el proceso de revisión anual de dicha metodología en cumplimiento a lo
dispuesto por la “Normas para la Gestión del Riesgo Operacional de las entidades financieras (NPB4-50), en ese sentido se
expusieron los elementos de la Política y el Manual para la gestión de riesgo operacional, así como las herramientas
relacionadas a la identificación, mitigación, generación de indicadores, evaluación de ambiente, reporte de incidentes y
evaluación de las unidades funcionales.
La metodología de Gestión de Riesgo Operacional, fue ratificada en Comité de Riesgo Operacional, y consta en Acta 008/14
del 29 de Octubre del 2014, para ser propuesta en Junta Directiva, tal como lo establece el Artículo 6 de NPB4-50, “Norma
para la Gestión de Riesgo Operacional de las Entidades Financieras”.
La Junta Directiva ratificó la Metodología para la Gestión de Riesgo Operacional en todas sus partes.
Los principales pilares de la metodología de riesgo operacional se encuentran en:
Marco Referencial
Política de Gestión de
Riesgo Operacional
Manual de Gestión de
Riesgo Operacional
Formularios y/o
herramientas de trabajo
Programas de Capacitación
Objetivo de Gestión
Instancia de
Aprobación
Proporciona
las directrices generales, funciones y
responsabilidades para la identificación, evaluación, control,
monitoreo y reporte de los riesgos operativos que pueden
afectar a la organización; con el objetivo de asegurar su
adecuada gestión, mitigación o reducción de los riesgos que
estén dentro del apetito de riesgo aprobado, y poder tener
entonces una seguridad razonable con respecto al logro de los
objetivos organizacionales
Junta Directiva
Tiene como finalidad establecer, estandarizar, comunicar y
emitir directrices del proceso para la identificación, evaluación,
control, monitoreo, reportar los riesgos operativos; así como la
comunicación respectiva y a los canales establecidos de dicha
gestión. El presente Manual incluye el desarrollo y despliegue
de la Metodología aplicada para la Gestión de Riesgo
Operacional.
Junta Directiva
Insumos proporcionados a los gestores de riesgo operacional,
que permiten la obtención de la información sobre los riesgos
relacionados con procesos, personas, infraestructura,
tecnologías de información y cumplimiento con leyes,
regulaciones y políticas.
Junta Directiva
Consiste en el despliegue y comunicación de la gestión al
personal involucrado directamente en la gestión y a toda la
Junta Directiva
| 10 |
Comité de Riesgo
Operacional
Comité de Riesgo
Operacional
Comité de Riesgo
Operacional
Reportes y Comunicación
organización para la adopción de cultura de prevención y
control del riesgo operacional.
Comité de Riesgo
Operacional
Escalar información sobre resultados del seguimiento de la
gestión, así como reportar oportunamente y de forma completa
las fallas en los diferentes factores de riesgo operacional.
Junta Directiva
Comité de Riesgo
Operacional
4.3 Identificación y evaluación de los riesgos operacionales de eventos críticos ocurridos durante el año, por proceso y/o
unidad de negocio y apoyo; el detalle de las medidas adoptadas para administrarlos.
Alcance de la Gestión de Riesgo Operacional
Al cierre del año 2014 de BAC|CREDOMATIC El Salvador contó con 107 unidades funcionales correspondientes a 21
gerencias de áreas que son responsables directos de la ejecución, las cuales durante el año desarrollaron cada una de
las etapas del ciclo de gestión de riesgo operacional; Es denotar que la gestión ha venido desarrollándose por años
anteriores como sana práctica con el objetivo de preparar a la organización en el cumplimiento de requerimientos
regulatorios y como parte de su Sistema de Control Interno que desarrolla.
Alcance de Unidades Funcionales
120
100
80
108
107
Año 2012
Año 2013
Año 2014
81
71
60
106
40
20
Año 2010
Año 2011
Perfil de Riesgo Operativo
El perfil de riesgo operativo de BAC|CREDOMATIC El Salvador al cierre del año 2014 cuenta con 2,048 riesgos
identificados en los 227 procesos que la organización ejecuta; estos resultados son producto de la evaluación y
calificación por parte de los dueños de unidad funcional acorde a la metodología establecida, y está dada en términos de
vulnerabilidad y severidad de los riesgos con relación a los controles implementados que se llevan a cabo para evitar que
los riesgos se materialicen.
Año 2010
Año 2011
Año 2012
Año 2013
227
Año 2014
227
Procesos
115
128
160
Riesgos
685
1,224
1,735
2,004
2,048
Riesgos críticos
105
234
470
503
500
433
450
549
650
1,136
1,032
464
71
81
106
108
107
Riesgos Cubiertos
Eventos e IRO
Unidades Funcionales
| 11 |
En el 2014 los riesgos principales representaron un 24% del total de riesgos identificados, de los cuales se ha dado inicio
a la creación de planes de mitigación que comprenden oportunidades de mejora y/o rediseño en procesos,
incorporación de nuevos y/o modificación de controles existentes, resultados de registro de eventos de riesgos
operativos.
Seguimiento de Gestión de Riesgo Operacional
En el presente ciclo, se llevaron a cabo reuniones, capacitaciones, comunicaciones de resultados, reporte de eventos e
incidencias de riesgo operacional a los dueños de unidad funcional como responsables directos, con el propósito de
procurar siempre los mejores resultados en base a plan de trabajo establecido, y siempre procurando disminuir la
posibilidad de pérdidas provocada por factores de riesgo operacional.
Del seguimiento y evaluación del Ciclo de Gestión de Riesgo Operacional se tiene un monitoreo constante, el
comparativo de Avance en la gestión de los cuatro periodos de Evaluación por Unidades Funcionales con entrega de
resultados de forma bimensual y con un entregable al cierre de ciclo, por lo que se puede apreciar el comportamiento y
evolución en el logro de cumplimiento por etapas.
Resultados por Compañía BANCO DE AMERICA CENTRAL - BAC
Compañía BAC la conforman 12 Gerencias de área donde se aprecia que de acuerdo a la nota promedio de Ciclo General
RO que fue de 85.20% se tuvo un total de seis (6) gerencias estuvieron por encima, y dos (2) gerencias de control
superaron los resultados de nota promedio de Calificación al corte del IV trimestre evaluado.
| 12 |
Resultados por Compañía CREDOMATIC DE EL SALVADOR - COM
Compañía COM la conforman 10 Gerencias de área donde se aprecia que de acuerdo a la nota promedio de Ciclo
General RO que fue de 85.20% se tuvo un total de cuatro (4) gerencias estuvieron por encima, y dos (3) gerencias
superaron los resultados de nota promedio de Calificación al corte del IV trimestre evaluado.
| 13 |
Resultados por Compañía INVERSIONES BURSATILES CREDOMATIC - IBC
Compañía IBC está conformada por dos (2) unidades funcionales donde se aprecia que de acuerdo a la nota promedio
de Ciclo General RO que fue de 85.20% estuvo por encima de los resultados, ubicándose con -1.85% menos de
resultados de nota promedio de Calificación al corte del IV trimestre.
Gerencia de Gestión Integral de Riesgos y Cumplimiento- Riesgo Operacional
Indicador Riesgo Operativo Año 2014
INVERSIONES BURSATILES CREDOMATIC
Periodicidad: Trimestral
Responsable de Medición: Jefatura de Riesgo Operacional
Mes
Tipo Negocio
IBC
IBC
Gerencia
dic-2014
Identificación
Monitoreo
20%
10%
ADMINISTRACIÓN DE CARTERA
OPERACIONES BURSATILES
PROMEDIO IBC
95.27%
95.27%
95.27%
Evaluación
Mitigación y
del Ambiente
Seguimiento
de Control
25%
93.14%
93.14%
93.14%
87.40%
87.40%
87.40%
10%
Reporte de
Eventos
Calificación
Total
35%
100.00%
100.00%
100.00%
75.00%
75.00%
75.00%
86.47%
86.47%
86.47%
Resultados por Compañía BAC LEASING
Compañía BAC Leasing obtuvo un 86.34% que de acuerdo a la nota promedio de Ciclo General RO que fue de 85.20% estuvo
por encima de los resultados, ubicándose con -1.98% menos de resultados de nota promedio de Calificación al corte del IV
trimestre.
Gerencia de Gestión Integral de Riesgos y Cumplimiento |RO
Indicador Riesgo Operativo Año 2014
BAC LEASING
Periodicidad: Trimestral
Responsable de Medición: Jefatura de Riesgo Operacional
Mes
Tipo Negocio
BAC
Gerencia
LEASING
dic-2014
Evaluación
Mitigación y
del Ambiente
Seguimiento
de Control
Identificación
Monitoreo
20%
10%
25%
10%
100.00%
100.00%
100.00%
75.47%
Reporte de
Eventos
Calificación
Total
35%
75.00%
86.34%
Registros de Eventos de Riesgo Operacional
Durante el año 2014 se tuvo una cultura de reporte de fallas por riesgo operacional, donde permitió el registro de 464
eventos de riesgo operacional, que formaron parte del sistema de evaluación y calificación del ciclo de gestión de riesgo
operacional. Para el cierre de dichos reportes se solicitaron realizar acciones de mitigación y/o cambios en los procesos tanto
en forma manual como sistemas para evitar que los eventos vuelvan a ocurrir, en la mayoría de casos no se registraron
pérdidas de riesgo operacional, sino exposiciones de pérdidas que pueden generar pérdidas económicas y pueden o no
afectar el estado de resultados.
El registro de reportes de eventos de riesgo es consolidado por compañías y procesos que ejecutan y se lleva un recuento de
forma mensual y por estatus de atención, donde se evidencia el compromiso de la gestión por parte de las gerencias y
unidades funcionales por área. A nivel de organización se trabajó en programa de capacitación dirigida especialmente a
preparar los enlaces de riesgo operativo, con el objetivo de certificarlos y facultarles en los conocimientos de reporte de
incidencias de riesgo operativo.
| 14 |
Al cierre del año 2014, se presentan las siguientes tendencias de reporte de eventos de riesgo operacional:
Se lleva un control por eventos de riesgo operacional por Compañía donde se aprecia la tendencia de cultura de reporte por
parte de los involucrados de la gestión.
Reporte de incidencias | Histórico y tendencias de reporte BAC
Reporte de incidencias | Histórico y tendencias de reporte COM
| 15 |
Reporte de incidencias | Histórico y tendencias de reporte BAC- Leasing
Reporte de incidencias | Histórico y tendencias de reporte IBC
Registro de Incidencias de Riesgo Operacional
A partir de año 2013 se inicia con registro de pérdidas con riesgo operacional, donde se procedió a la creación de cuentas
contables por compañías de acuerdo a catalogo autorizado por el regulador.
La presente metodología lo que busca es el registro de pérdidas por cualquier factor de riesgo operativo y clasificado por
líneas de negocio.
Detalle de pérdidas del Grupo BAC| CREDOMATIC al corte del mes de diciembre 2014 que asciende a $565,521.95, las cuales
se presentaron por tipo de causas raíz, donde Fraude Externo posee el 93% del total de las pérdidas. Estas pérdidas están
consolidadas tanto en la base 3.1 como en los registros contables.
| 16 |
Detalle de Medidas adoptadas para administración y mitigación de riesgos críticos.
De acuerdo análisis de causa raíz de los factores de riesgo operacional afectados durante el presente año, se implementaron
acciones que permitieron modificación de procesos existente, identificación de puntos de compromiso de datos, campañas
de capacitación a comercios afiliados y puntos de negocios, modificación de alertas de prevención y monitoreo, incorporación
de políticas de gestión de riesgos por reclamaciones de clientes, segmentación de cartera, campaña de sustitución de
plásticos comprometidos, e incorporación de controles y segregación de funciones en los procesos operativos vulnerados
donde se relaciona fraude interno.
4.4 DETALLE DE LOS EJECUTIVOS RESPONSABLES DE LAS ACTIVIDADES DE CONTROL DE RIESGOS DE LOS EVENTOS
CRITICOS OCURRIDOS DURANTE EL AÑO.
| 17 |
4.5 PLAN DE LAS ACTIVIDADES A DESARROLLAR POR LA GERENCIA INTEGRAL DE RIESGO Y CUMPLIMIENTO / RIESGO
OPERACIONAL.
Para el 2015 se tiene el compromiso de continuar trabajando en la gestión de riesgo operacional, para proporcionar a los
gestores de riesgo herramientas que faciliten la gestión y permitan seguir construyendo la cultura de riesgo operativo; dentro
de los principales proyectos se tiene:
Llevar la gestión por procesos y no por unidades funcionales.
Implementación de metodología de evaluación de controles.
Control de riesgos principales mediante el fortalecimiento del seguimiento de planes de mitigación a
través de planes de acción.
Valoración y estudio de software que permita contar con un flujo de administración de todas las etapas
de ciclo de gestión de riesgo operacional.
5. RIESGO TECNOLÓGICO
El Riesgo Tecnológico es la posibilidad de que la interrupción, alteración o falla de los Servicios de TI (constituidos por la
infraestructura de TI, sistemas de información y base de datos) provoque pérdidas financieras, insatisfacción del cliente,
interrupción en la continuidad del negocio, incumplimiento regulatorio o afectación en la revelación financiera de la
institución.
La Gestión de Riesgos Tecnológicos tiene como finalidad identificar eventos de riesgo o incidentes asociados a interrupciones,
fallas y contingencias tecnológicas que puedan afectar al Grupo, y asegurar la adecuada administración de los mismos por
parte de las Unidades Funcionales que administran tecnología, con el fin que dichos riesgos permanezcan dentro del apetito
de riesgo aprobado por la Junta Directiva, contribuyendo de esta forma al logro de los objetivos organizacionales.
Las etapas de la Gestión de Riesgo Tecnológico se presentan a continuación:
Establecimiento
del contexto de
riesgo tecnológico
Respuesta y
Seguimiento a los
riesgos
tecnológicos
Identificación y
evaluación de
riesgos
tecnológicos
Definición y
Seguimiento de
Indicadores de
riesgos
tecnológicos
| 18 |
5.1.
POLÍTICAS ACTUALIZADAS PARA LA GESTIÓN DE RIESGO TECNOLÓGICO
La política establece los principios básicos que gobiernan la Gestión de Riesgo Tecnológico y plantea el marco para dar
cumplimiento a los criterios de seguridad y calidad de la información, la cual se maneja a través de canales y medios de
distribución de productos y servicios para clientes y usuarios.
BAC|CREDOMATIC, al ser una institución Bancaria que opera a nivel regional, requiere que la administración cumpla con las
regulaciones locales, así como también con la alineación al Lineamiento de Riesgo Operativo Regional, L-CORP-Gestión de
Riesgos Operativos –REG-0000031, el cual enmarca la Gestión de Riesgo Tecnológico.
La Junta Directiva, dando cumplimiento al Artículo 7 literal d) de la NPB4-47, aprobó toda la documentación la
documentación regional publicada para la Gestión de Riesgo Tecnológico aplicable a todas las empresas del conglomerado
IFBAC, siendo que la gestión se desarrolla de forma corporativa. Sesión celebrada en Septiembre de 2014.
5.2.
DESCRIPCIÓN DE LAS METODOLOGÍAS, SISTEMAS Y HERRAMIENTAS UTILIZADAS
La gestión de Riesgo Tecnológico para BAC|CREDOMATIC está enfocada bajo dos grandes pilares:
•
Riesgos Operativos de TI, y
•
Riesgos Tecnológicos asociados a componentes, por la notable diferencia de enfoque es que se utilizan las
siguientes metodologías.
Riesgo Operativo en Tecnología (ROTI)
Evaluación por Unidades Funcionales
Riesgo Tecnológico (RT)
Evaluación por Servicios Críticos
Las metodologías están documentadas según se detalla:
Manual Metodología Regional para la Gestión de Riesgo Tecnológico, el cual contiene los siguientes capítulos para su
aplicación:
I - Estándar Regional para la Identificación y Evaluación de Riesgos Tecnológicos
II - Estándar regional para la creación de planes de mitigación y seguimiento de riesgos tecnológicos
Manual Operativo para Gestión de Riesgos Operativos del grupo BAC|Credomatic El Salvador, del cual aplican principalmente
los siguientes capítulos:
Capítulo 4: Estándar para la Identificación, Evaluación y Monitoreo de Riesgos Operacionales.
Capítulo 6: Estándar para la Creación de Planes de Mitigación y Seguimiento de Riesgos Operacionales.
1)
Riesgo Operativo de TI: Procesos del área de TI
La metodología empleada para la gestión de riesgos operativos en las áreas de TI está fundamentada en la identificación,
evaluación, control, monitoreo y reporte de riesgos. Todas estas actividades se desarrollan sobre la base de los procesos
| 19 |
pertenecientes al área de TI (gestión de incidentes, gestión de problemas, gestión de cambios, gestión de proyectos, entre
otros). Se evalúa y se gestionan los riesgos en base a las mejores prácticas (Cobit), procesos definidos por la organización,
lineamientos y procedimientos.
Para el año 2014, las cinco Unidades Funcionales del área de TI realizaron el ciclo de riesgos correspondiente al alcance de los
procesos, los cuales fueron definidos por las jefaturas del área. El resumen de dicha gestión es el siguiente:
UNIDADES FUNCIONALES
OPERACIONES DE TI
DESARROLLO DE SISTEMAS
SEGURIDAD DE SISTEMAS
SOPORTE TÉCNICO
INCIDENT MANAGER
Total de Riesgos/Planes
Alcance Riesgo Operativo en TI
RIESGOS
RIESGOS
IDENTIFICADOS
PRINCIPALES
22
7
35
13
36
7
34
16
14
1
141
44
PLANES DE
MITIGACION
5
9
2
6
1
23
Nota: Algunos planes de mitigación cubren más de un riesgo principal.
2)
Riesgo Tecnológico : Servicios críticos
La metodología empleada para gestionar el riesgo tecnológico bajo el enfoque de servicios críticos se basa en:
a.
b.
c.
d.
El establecimiento del contexto de riesgos tecnológicos.
Identificación y evaluación de riesgos tecnológicos.
Definición y seguimiento de indicadores de riesgos tecnológicos.
Respuesta y seguimientos a los riesgos tecnológicos.
El alcance de la gestión de riesgos tecnológicos para BAC|CREDOMATIC se basa en los servicios que la organización ha
definido como críticos, por lo que se busca atender los riesgos asociados a los componentes tecnológicos relacionados. A
continuación el resumen de dicha gestión para el año 2014:
Servicios críticos trabajados
Riesgos
Identificados
59
110
16
16
46
19
Riesgos
Principales
13
3
10
3
3
3
Pago a Comercios Afiliados
Autorizaciones
PPP
Retiros Bancarios
Recepción de Pagos TH
Recepción de Pagos de Préstamos
Banacarios
Depósitos Bancarios
16
3
Total
282
38
Nota: Este plan está en proceso de implementación y desarrollo, actualmente nos encontramos en la etapa de
identificación de riesgos principales para posteriormente emitir planes de mitigación.
5.3.
RESULTADO DE LA EVALUACIÓN EFECTUADA A LA GESTIÓN DE RIESGO TECNOLÓGICO
En relación a los resultados de evaluación efectuada a la Gestión de Riesgo Tecnológico, la Dirección Regional del Grupo
realizó una serie de evaluaciones a la Gestión de Riesgo Tecnológico, las cuales consistían en:
1. Seguimiento al ciclo de Gestión de Riesgos Operativos en el área de Sistemas.
2. Implementación del Riesgo Tecnológico según alcance predefinido.
3. Desarrollo de los cronogramas con las actividades relacionadas al plan de trabajo 2014 (evaluación Unidad
Funcional, Incidentes y Ciclo de Riesgos).
| 20 |
El resultado de la evaluación 2014 fue presentada en Enero 2015 a la Administración Superior según calificación de la
Dirección Regional fue 100%.
5.4.
PROYECTOS ASOCIADOS A LA GESTIÓN DE RIESGO TECNOLÓGICO A DESARROLLAR EN 2015
Las principales metas a desarrollar para cumplir con iniciativas regionales relacionadas con la Gestión de Riesgo Tecnológico
son:
•
•
•
•
Coordinación y definición de alcance a partir de análisis regionales (Continuidad de Negocios)
Capacitación y despliegue de la metodología de riesgos
Despliegue de la herramienta de evaluación de unidades funcionales (RT y RO TI)
Desarrollo de un sistema que sirva de repositorio para la estructura de los entendimientos de servicios críticos
6. RIESGO DE LAVADO DE ACTIVOS Y FINANCIACIÓN DEL TERRORISMO
El año 2014 marco un gran cambio regulatorio en el tema de Prevención de Lavado de Dinero y Financiación al Terrorismo a
todas las instituciones financieras, no obstante en nuestra institución muchos de estos requerimientos ya formaban parte de
nuestras actividades y estaban siendo implementadas como una mejor prácticas. El Banco América Central mantiene su
compromiso de administrar el riesgo de lavado de activos y financiamiento del terrorismo, a fin de prevenir, detectar y
controlar la utilización de nuestros productos y servicios para el movimiento de fondos provenientes de actividades ilícitas.
En concordancia con estos cambios normativos, en el año 2014 se realizaron cambios a nuestros lineamientos y Manual del
Sistema de Administración de Riesgos de Lavado de Activos y Financiamiento del Terrorismo con el fin de robustecer los
controles y actualizar las políticas aplicadas, también definir tareas y responsabilidades a desarrollar por las diferentes áreas.
Respecto al programa de capacitación presencial, realizamos un proyecto orientado a reforzar conocimientos por unidades de
negocio, reforzando y dando ejemplos específicos para cada uno de estos enfocándonos en áreas como banca privada,
bancas corporativas, oficiales de cajas, servicio al cliente, tarjetas, así mismo se dio seguimiento a un refuerzo en temas de
prevención de lavado de dinero de forma virtual, logrando cubrir un 100% del personal capacitado.
Dentro de la cultura de prevención al lavado de dinero y financiamiento al terrorismo, se realizaron actividades adicionales
tales como la Semana de Cumplimiento, recibimos la visita de nuestro Director de Cumplimiento que proporciono una serie
de capacitaciones a personal de negocios, reflejando el compromiso de nuestra Institución con el tema de Prevención de
Lavado de Dinero.
| 21 |
En cuanto al fortalecimiento del Sistema de Administración SARLAFT, se continuó con la actualización de nuestra Matriz de
Riesgo, y con la evaluación de los controles implementados para la mitigación de los riesgos, a través de las visitas didácticas
realizadas a las Agencias de nuestra Institución, estas fueron realizadas durante el segundo semestre por la Oficina de
Cumplimiento, adicionalmente se realizaron auditorías a nuestros intermediarios financieros para comprobar velar por la
política de Conozca a tu Intermediario, asegurándonos de que cumplan con controles para prevenir los riesgos mencionados
anteriormente.
Como parte del programa de Cumplimiento además se dio cumplimiento a los requerimientos de los entes reguladores, se
realizó el debido seguimiento a los informes de inspección de las diferentes auditorías realizadas a la Oficina de
Cumplimiento, dicha gestión quedo reflejada en las métricas reportadas mensualmente a Comité de Cumplimiento y Junta
Directiva.
Este mismo año se inició con la implementación del proyecto de Segmentación estadística, la cual nos permitirá conocer el
mercado y productos a ofertar, los clientes, zonas geográficas (colocándolos en clúster) y al mismo tiempo darles una
categoría o nivel de riesgo, y crear modelos predictivos que es la asignación de los segmentos a los que corresponden los
clientes de acuerdo a los factores de riesgo que se apliquen, también nos brindara de una manera factible la aplicación de
nuevos criterios y parámetros de prevención del lavado de dinero y financiación al terrorismo.
Esta metodología está basada en la NRP-08 Normas Técnicas para la gestión de los riesgos de Lavado de Dinero y de Activos y
de Financiación al Terrorismo, emitida por el Banco Central de Reserva (BCR) la cual fue analizada y se está en proceso de
implementación.
Finalmente continuamos atendiendo y administrando nuestra herramienta de monitoreo transaccional en el SMT, la cual es
una herramienta con muchos beneficios ya que las áreas de negocio aportan insumos para el conocimiento más adecuado de
las operaciones de los clientes.
7. RIESGO REPUTACIONAL
En el marco de la gestión integral de riesgos, la gestión del riesgo de reputación ha estado marcada por un enfoque en el
cumplimiento de las expectativas de los grupos de interés: Clientes, entes reguladores, empleados, proveedores e
intermediarios, accionistas, comunidad / sociedad.
En términos generales, en la entidad se ha establecido el riesgo de reputación como el riesgo asociado a una opinión o
percepción pública que surge de cualquier acción, evento o circunstancia que pueda incidir en nuestra reputación corporativa
en sentido negativo. En este sentido, el riesgo de reputación se materializa en la posibilidad de pérdida o afectación en la
reputación, de forma que afecte la percepción que el entorno social tiene sobre la misma por desprestigio, mala imagen,
publicidad negativa o engañosa que produzca un efecto de pérdida directa o indirecta en el valor de la entidad, pérdida de
clientes, disminución de ingresos o procesos administrativos o judiciales.
Durante el año 2015 el grupo BAC Credomatic mantuvo una estrategia de seguimiento a las 4 dimensiones del Plan de gestión
del riesgo de reputación: Orientación al Cliente, Ciudadanía, Solidez e Innovación.
Políticas actualizadas para la gestión del riesgo de reputación
Existen diversas políticas asociadas a la gestión de Riesgo de reputación, entre las que se incluyen:
-
Lineamiento manejo de la comunicación con medios
-
Revisión de promociones, nuevos productos y servicios (Aprobación de proyectos de productos bancarios y
crediticios).
-
Lineamiento corporativo de atención al cliente
-
Lineamiento para compartir mejores prácticas
-
Manual del Sistema de Gestión Ambiental
-
Lineamiento de comunicación interna y externa ambientales
-
Política para la desvinculación de clientes BAC Credomatic
| 22 |
Descripción de las metodologías, sistemas y herramientas desarrolladas para la gestión del riesgo de reputación
Prioridad 1. En cuanto a la “Orientación al cliente” se aseguró el cumplimiento de los siguientes objetivos:
1.
2.
3.
4.
5.
Se cuenta con una estructura de apoyo en temas de servicio y transparencia a través de la Gerencia de Servicio al
Cliente.
Existe una estructura de apoyo (facilitadores internos-para el desarrollo de cierre de brechas en el modelo de
gestiones) a través de la Gerencia de Servicio al Cliente.
La existencia de un proceso para dar seguimiento a las denuncias interpuestas por los clientes ante los reguladores,
a través del área de Servicio al Cliente y Transparencia.
La existencia de un proceso para la atención de reclamos y redes sociales en aras de asegurar la protección al
consumidor.
Revelación de resultados de Imagen Reputacional ante los Reguladores, a través de la Gerencia de Servicio al
Cliente.
Asimismo, se realizaron algunas tareas orientadas a promover la agilidad en los trámites de la institución mediante el uso de
servicios electrónicos y reducir el tiempo de espera en agencias
Prioridad 2. Sobre el tema de “Ciudadanía”, el trabajo se destinó a visibilizar a BAC|CREDOMATIC como una entidad que
invierte en causas sociales y fomenta la educación financiera.
En el primer punto, se llevó a cabo una gestión de comunicación del Programa Dona Tu Vuelto a través de redes sociales y
medios tradicionales. Dicho programa consiste en una suscripción que permite a los tarjetahabientes destinar el remanente
de sus compras ajustadas al próximo dólar a una fundación previamente seleccionada de acuerdo a las opciones ofrecidas por
BAC|CREDOMATIC.
En cuanto al fomento de la Educación Financiera, se llevaron a cabo las siguientes actividades:
1.
2.
3.
Consejos Financieros en Redes Sociales
Promover el ingreso al sitio web www.mipresupuestovirtual.com, como una plataforma disponible para organizar
las finanzas de nuestros colaboradores.
Promoción de la nueva página de educación financiera
Prioridad 3. La “Solidez” no sólo significa un elemento integrador de la estrategia de gestión del riesgo de reputación, sino la
importancia de divulgar las actividades que permiten posicionar a la Compañía como una entidad comprometida con su
entorno. A efecto de cumplir con lo anterior, se destinaron esfuerzos para comunicar iniciativas de Responsabilidad Social
Corporativa mediante la convocatoria permanente a conferencias de prensa para lanzamientos, promociones y novedades.
Prioridad 4. Sobre la prioridad relacionada a “Innovación” se promovió a BAC|CREDOMATIC como una entidad que se
anticipa a la competencia y se promovió el uso de nuevos productos mediante servicios móviles y aplicaciones como:
-
Promo Zone: plataforma virtual que permite a nuestros comercios afiliados actualizar promociones en línea
disponibles para nuestros clientes.
-
Recarga Cel: servicio que permite realizar recargas de celulares mediante envío de mensajito y se descuenta al saldo
del tarjetahabiente.
Resultados de las evaluaciones efectuadas a la gestión del Riesgo de Reputación
A la fecha de la emisión del presente informe aún no se ha emitido el informe definitivo de Auditoría Interna sobre la gestión
de Riesgo Legal.
Proyectos asociados a la gestión de Riesgo de Reputación
Para el año 2015 en cuanto a la gestión de riesgo de reputación se tiene proyectado mantener el seguimiento a las
Actividades del Plan de gestión del riesgo de reputación.
| 23 |
8.
RIESGO LEGAL
La gestión de Riesgo Legal constituye un componente asociado a la gestión integral de riesgos cuya valoración depende de las
condiciones del marco regulatorio vigente y de los cambios en la normativa por parte de las autoridades competentes. Por tal
razón podemos clasificar el Riesgo Legal en dos categorías:
(i)
Riesgo Legal por vía directa: posibilidad de pérdidas debido al incumplimiento de la legislación que regula los
servicios y contratos financieros o la imposibilidad de exigir el cumplimiento de los contratos por la vía legal; y
Riesgo Legal por vía indirecta: riesgo de cambio del marco regulatorio por parte de las autoridades
gubernamentales competentes (a nivel local, nacional o internacional) en forma que afecte adversamente la
posición de la entidad financiera.
(ii)
A partir de lo anterior, el Riesgo Legal incluye la exigibilidad legal, la legalidad de los instrumentos financieros y la exposición a
cambios no anticipados en leyes y regulaciones. Básicamente, incluye los efectos jurídicos derivados del fraude, las malas
prácticas que generan un impacto a terceros y los desafíos resultantes de nuevas exigencias legales.
En particular, nuestra regulación sobre la materia define que las entidades deberán establecer políticas y controles
específicos, previo a la celebración de contratos, actos jurídicos u operaciones que realizan, se analice la validez jurídica y se
procure la adecuada verificación legal (Art. 15 de las “Normas para la gestión del riesgo operacional de las entidades
financieras”).
A partir de lo anterior, durante el año 2014 se ha realizado un esfuerzo por ajustar los procesos a la entrada en vigencia de
nuevos cuerpos normativos como la Ley de Impuesto a las Operaciones Financieras (LIOF) e implementar los cambios
derivados de las reformas a la legislación en materia Anti lavado de dinero a nivel local, así como la aplicación de la normativa
conocida como “Ley de Cumplimiento Tributario de Cuentas Extranjeras” o FATCA por sus siglas en inglés (Foreign Account
Tax Compliance Act), de carácter vinculante para las entidades financieras a nivel mundial.
Políticas actualizadas para la gestión del Riesgo Legal
De conformidad a lo establecido por acuerdo de Junta Directiva, los cuatro pilares de la gestión del Riesgo Legal son los
siguientes:
I
Cumplimiento regulatorio
(monitoreo de normas vigentes y
futuras)
II
Gestión del Riesgo Transaccional
Riesgo Legal
III
IV
Manejo adecuado de litigios
Manejo de aspectos corporativos
existentes y potenciales
(Gobierno Corporativo, Control de
poderes, Propiedad intelectual)
Entre las políticas asociadas a la gestión de Riesgo Legal que se encuentran publicadas en el sistema interno de calidad de la
organización se incluyen:
I.
Cumplimiento regulatorio
-
Inventario regulatorio y matriz de CTC´s (CTC=Critical to compliance: requerimientos legales de alto riesgo).
-
Manejo de comunicaciones con entes reguladores y supervisores.
| 24 |
II.
Manual de Manejo de expedientes (Requisitos de apertura de productos)
Gestión del riesgo transaccional
-
Lineamiento de Apertura de Cuentas de ahorro y corriente.
-
Lineamiento para la Apertura de Certificado de depósito a plazo.
-
Lineamiento para la recepción de cheques del exterior.
-
Lineamiento para el otorgamiento de créditos de consumo.
-
Manual para el otorgamiento de tarjetas de crédito.
-
Lineamiento para solicitud, creación y liquidación de préstamos con el exterior
III. Manejo adecuado de litigios existentes y potenciales
-
Procedimiento para atender riesgos asociados a litigios, juicios, condiciones contractuales y otros aspectos
legales.
-
Procedimiento para monitorear el cumplimiento de tiempos y alcances de las actividades realizadas.
-
Manual para la entrega de documentos legales para iniciar juicios.
-
Manual sobre embargo de bienes.
-
Manual para el traslado de vehículos que quedan en calidad de depósito judicial.
-
Manual para adjudicaciones en pago.
IV. Manejo de aspectos corporativos
-
Código de Gobierno Corporativo.
-
Aprobación de proyectos de productos bancarios y crediticios.
-
Lineamiento de obligaciones y responsabilidades de los accionistas de las sociedades del Conglomerado
financiero BAC-Credomatic.
-
Procedimiento para cumplimiento de requerimientos de derechos de autor, privacidad y comercio electrónico.
Descripción de las metodologías, sistemas y herramientas desarrolladas para la gestión de Riesgo Legal
El proceso de gestión del Riesgo Legal incluye las siguientes metodologías, sistemas y herramientas:
-
Repositorio consolidado para documentos legales: constituye una unidad de red con acceso restringido donde
se resguarda información electrónica de documentos mercantiles, actas de comités de Gobierno Corporativo e
información general relacionada con las sociedades y los accionistas del grupo financiero a nivel local.
-
Sistema de Información de Cumplimiento: Constituye una plataforma para el envío de consultas por parte de
las áreas de negocio y otras áreas de control que permite emitir opinión sobre consultas relacionadas con
lanzamientos de promociones, nuevos productos o servicios, modificaciones a contratos, y consultas sobre
requisitos de apertura de cuentas previo a la celebración de los contratos de apertura de productos bancarios,
entre otros.
-
Módulo de Control de comunicaciones con entes reguladores y supervisores: constituye una herramienta que
consolida las solicitudes y requerimientos recibidos en la entidad por parte de los reguladores y supervisores y
permite su distribución mediante notificación electrónica a los correos de las áreas encargadas de su gestión
para su oportuna respuesta.
-
Informes periódicos sobre Sesiones de comités de Gobierno Corporativo: se realiza una revisión trimestral a la
información de las sesiones de Comités de Gobierno corporativo con la finalidad de identificar puntos de
mejora en relación a aspectos como: envío de convocatorias, cumplimiento de la periodicidad, asistencia de los
miembros, claridad en la redacción de las actas y cumplimiento de funciones, entre otros.
-
Actualización de información de Gobierno Corporativo en sitio web: en cumplimiento a lo establecido en el Art.
23 de las NPB 4-48, se realiza un monitoreo periódico de la información que se debe incorporar al sitio web en
el apartado de Gobierno Corporativo, para mantener un registro actualizado de la misma y/o notificar a las
áreas encargadas para gestionar su actualización.
Resultados de las evaluaciones efectuadas a la gestión del Riesgo Legal
A la fecha de la emisión del presente informe aún no se ha emitido el informe definitivo de Auditoría Interna sobre la gestión
de Riesgo Legal.
| 25 |
Proyectos asociados a la gestión de Riesgo Legal
Los proyectos para la gestión de Riesgo Legal en el período 2015 consisten en mantener el monitoreo de los nuevos
productos y servicios de la entidad mediante el Sistema de Información de Cumplimiento, dar seguimiento a la efectiva
respuesta de Oficios y requerimientos de información por parte de las autoridades competentes y los entes reguladores y a la
gestión de Gobierno Corporativo de las diferentes entidades del grupo financiero.
9. CONTINUIDAD DEL NEGOCIO
Gestión de Continuidad de Negocios.
Los planes de Continuidad de Negocios están documentados y disponibles para el personal correspondiente en el Manual
Operativo Local “Plan de Continuidad del Negocio GFBC”, donde se establece para cada servicio crítico, según el alcance de
Continuidad de Negocios aprobado, la siguiente estructura de control:
•
Identificación de eventos de riesgos.
•
Control de registros y documentación.
•
Control de cambios y versiones.
•
Vigencia y aprobación a través del Comité de Riesgo Operacional.
Plan de Capacitación Continua.
Se implementó un plan de capacitación continua para los colaboradores del GFBC, la cual se desarrolla en las siguientes fases:
•
Inducción a nuevos colaboradores. Participación en el programa de inducción con el tema CN.
•
Campaña de Comunicación Continua. Envío trimestral de boletín informativo.
9.1.
POLÍTICAS ACTUALIZADAS PARA LA GESTIÓN DE CONTINUIDAD DEL NEGOCIO
La Política de Continuidad de Negocios fue aprobada en Comité de Riesgo Operativo y presentada a Junta Directiva en sesión
JD 18-2012 celebrada en Agosto de 2012, durante 2013 y 2014 no se realizaron cambios a la misma. A continuación se anexa
su estructura:
Propósito
Objetivos
Alcances
1. Responsabilidades
1.1 Junta Directiva
1.2 Alta Gerencia
1.3 Departamento de Continuidad de Negocio
1.4 Jefes y Gerentes de las Unidades Funcionales
1.5 Comité de Riesgo Operativo
1.6 Departamento de Riesgo Operacionales
1.7 Comité de Administración Integral de Riesgos
1.8 Empleados/Colaboradores
2. Plan Continuidad de Negocios en casos de crisis
2.1 Comité de Manejo de Crisis (CMC)
2.2 Definición del Líder del Comité de Manejo de Crisis
2.3 Manejo de la Comunicación durante una Crisis
2.4 Ejecución de Decisiones para Manejo de Crisis
2.5 Equipo de Manejo de Incidentes (EMI)
2.6 Equipo de respuesta operativa (ERO)
2.7 Centro de Comando CMC
3. Administración De La Continuidad Del Negocio
3.1 Plan de Continuidad del Negocio BCP
| 26 |
3.2 Plan de Manejo de Incidentes de CN
3.3 Plan de Restauración
4. Plan De Pruebas Operativas CN
4.1 Tipos de Pruebas
5. Mantenimiento de la Gestión De Continuidad De Negocios
Adicionalmente se cuenta con una Política de Continuidad de Negocios que aplica regionalmente a todos los miembros de
BAC Credomatic Network y que actualmente está en proceso de aprobación por la Junta Directiva local a fin de unificar los
lineamientos y responder de forma unificada a la visión del Grupo, sin perjuicio de los requerimientos locales de nuestra
Legislación.
Alcance de Continuidad de Negocios
La gestión de Continuidad de Negocios es aplicable a todas las empresas del conglomerado IFBAC: Banco de América Central,
Credomatic de El Salvador, Inversiones Bursátiles Credomatic, S.A. de C.V., BAC Leasing, S.A. de C.V.
El establecimiento de servicios críticos, fue revisado y actualizado en Comité de Riesgo Operativo del mes de Agosto 2013 y
ratificado por Junta Directiva Agosto 2013.-se establecen como servicios críticos los siguientes:
•
Banco de América Central: Retiros/Depósitos/ Recepción de pagos, Transferencias Internacionales, Pago de
Planillas y Proveedores, Cobranza Telefónica, Desembolsos de Créditos, Compensación de Cheques y Cierre
Bancario diario.
•
Credomatic de El Salvador: Autorizador, Pago a Comercios afiliados y Remesas Credomatic.
•
Inversiones Bursátiles Credomatic: Depósitos y Retiros (los cuales son atendidos con la plataforma de Agencias)
En 2014, el alcance de Continuidad de Negocios no sufrió ninguna modificación.
Planes de Continuidad de Negocios.
En concordancia con el alcance definido, se tienen publicados planes de continuidad de negocios para las diferentes áreas
críticas, las cuales han sido revisadas y validadas por los gerentes de área responsables de dichas unidades, se adjunta el
detalle de la revisión vigente:
Gerencia dueña del proceso
Afiliaciones y Operaciones
Canales y Operaciones
Servicio Crítico
Versión
Actual
versión
vigente
BCP Autorizaciones -Canal POS
2
30/04/2014
BCP Pago a Comercios Afiliados
6
30/04/2014
BCP Ventanilla y back office
6
30/06/2014
BCP Pagos de préstamos BAC
3
30/04/2014
BCP Pago de Planillas y Proveedores
3
28/04/2014
BCP Servicio Remesas Credomatic
2
28/04/2014
BCP Transferencias Internacionales
2
30/04/2014
Plan continuidad del negocio, para el Proceso critico
compensación de cheques
2
| 27 |
01/08/2014
BCP Canal Critico ATM
2
28/04/2014
BCP Canal Crítico Sucursal Electrónica
3
28/04/2014
Banca de Personas
Plan de Continuidad de Negocios Desembolsos Banca
de Personas
2
Banca Empresas
BCP Desembolsos Banca Corporativa
4
01/07/2014
Créditos y Cobros
BCP Cobranza Telefónica COM
3
25/06/2014
Recuperación Administrativa
BCP Cobranza Telefónica BAC
6
28/06/2014
IBC
Plan de Continuidad del Negocio-Depósitos y Retiros
IBC
3
Servicio al Cliente
BCP Canal crítico IVR
5
12/03/2014
BCP- Canal Critico: Call Center
5
12/03/2014
04/07/2012
22/08/2014
Visibilidad de la Gestión de Continuidad de Negocios
Como parte del compromiso de la Alta Gerencia se designa como responsable de la política de CN y puesta en práctica de la
Gestión de Continuidad de Negocios al Jefe de Continuidad de Negocios. Asimismo, se confirman los foros para la
presentación de resultados de dicha gestión, según periodicidad establecida en el Código de Gobierno Corporativo:
•
•
Administración Superior: Continuidad del Negocio participa en los Comités de Riesgo Operativo,
Junta Directiva: Continuidad del Negocio se presenta a través del Gerente Integral de Riesgos y Cumplimiento.
La ejecución de la Gestión se hará en tres áreas, las cuales se acordaron en el Comité de Riesgo Operativo celebrado en marzo
de 2014 y aprobado en Junta Directiva del mes de Junio 2014, según detalle:
•
•
•
9.2.
Gestión de Continuidad de Negocios GNC: Rocío de Menjívar, Jefe de CN
Plan de Emergencias: Álvaro Flamenco, Gerente de Recursos Humanos
Continuidad de Tecnología: Marco Gamero, Gerente de Sistemas.
DESCRIPCIÓN DE LAS METODOLOGÍAS, SISTEMAS Y HERRAMIENTAS UTILIZADAS
BAC|CREDOMATIC El Salvador trabaja la Gestión de Continuidad de Negocios según las mejores prácticas basadas en el
estándar del BSI 25999 y el estándar internacional ISO 22301:2012, "Societal security -- Business continuity management
systems --- Requirements", (Currently in development). Este último en proceso de implementación.
Se presenta a continuación el esquema que dicho estándar recomienda:
| 28 |
9.3.
RESULTADO DE LA EVALUACIÓN EFECTUADA A LA GESTIÓN DE CONTINUIDAD DEL NEGOCIO
Al cierre del año 2014, la Gestión de Continuidad de Negocios, de acuerdo a evaluación realizada por la Gerencia Regional de
Excelencia Operativa de BAC| CREDOMATIC Network. Se anexan resultados correspondientes al ejercicio 2014, siendo el
puntaje obtenido: 100%
Detalle a continuación:
Avance
proyectad
o
01/04/2013 31/12/2014
99%
Nombre de tarea
ID
Inicio
Final
Avance
Real
Estado
Nota
100%
100%
03/02/2014 29/12/2014
100%
100%
100%
03/02/2014 29/12/2014
100%
100%
100%
Partes interesadas
05/02/2014
06/08/2014
100%
100%
100%
17
Registro de definiciones
09/06/2014
11/11/2014
100%
100%
100%
03/07/2014
11/11/2014
100%
100%
21
Estructura de liderazgo para el SGCN
26
Roles, responsabilidades y autoridades del SGCN
10/07/2014
11/11/2014
100%
100%
100%
34
BIA
03/02/2014
27/11/2014
100%
98%
98%
52
RIA
03/02/2014
29/12/2014
100%
99%
99%
68
Objetivo y alcance del SGCN
26/06/2014
21/11/2014
100%
100%
100%
73
04/06/2014 23/12/2014
100%
100%
Estructura manejo de incidentes de continuidad (análisis de recursos-concientización-comunicación-control de documentos)
23/07/2014 24/11/2014
100%
100%
Política de CN Reg en conformidad con ISO22301
100%
1
2
3
Implementación ISO22301
Plan
Metodología alineada a ISO22301
4
96
101
100%
27/01/2014 31/12/2014
DO
98%
100%
100%
100%
100%
102
Establecer procedimientos de Continuidad en conformidad con ISO22301
21/11/2014
31/12/2014
95%
100%
111
Pruebas y ejercicios
27/01/2014
15/12/2014
100%
100%
100%
03/11/2014 08/12/2014
100%
100%
100%
03/11/2014
100%
100%
100%
119
120
9.4.
Check
Evaluación del desempeño
08/12/2014
PROYECTOS ASOCIADOS A LA GESTIÓN DE CONTINUIDAD DEL NEGOCIO A DESARROLLAR EN
2015
En coherencia con el plan de trabajo regional, la Gestión de Continuidad de Negocios continuará su alineamiento a los
requerimientos de la 22301:2012 Seguridad de la sociedad – Sistemas de gestión de la CN. Estos esfuerzos han sido
plasmados en el plan 2015, considerando los siguientes indicadores de medición.
1.
2.
3.
4.
5.
6.
Análisis BIA
Gestión de Incidentes
Prueba de recorrido
Concientización y Capacitación
Programa de Pruebas
Análisis GAP en Gestión de Continuidad de Negocio
| 29 |
| 30 |
Descargar