INFORME DE GESTIÓN INTEGRAL DE RIESGOS BANCO DE AMÉRICA CENTRAL, S.A. AÑO 2014 Tabla de contenido I. ESTRUCTURA ORGANIZATIVA PARA LA GESTIÓN INTEGRAL DE RIESGOS ................................... 2 II. DETALLE DE LOS PRINCIPALES RIESGOS ASUMIDOS POR LAS ACTIVIDADES DE LA ENTIDAD ...... 3 1. RIESGO DE CRÉDITO ................................................................................................................. 4 2. RIESGO DE MERCADO ............................................................................................................... 6 3. RIESGO DE LIQUIDEZ................................................................................................................. 7 4. RIESGO OPERACIONAL .............................................................................................................. 9 5. RIESGO TECNOLÓGICO ........................................................................................................... 18 6. RIESGO DE LAVADO DE ACTIVOS Y FINANCIACIÓN DEL TERRORISMO ..................................... 21 7. RIESGO REPUTACIONAL .......................................................................................................... 22 8. RIESGO LEGAL......................................................................................................................... 24 9. CONTINUIDAD DEL NEGOCIO .................................................................................................. 26 |1| BANCO DE AMÉRICA CENTRAL, S.A. Miembro BAC | CREDOMATIC NETWORK INFORME DE LA EVALUACIÓN TÉCNICA DE LA GESTIÓN INTEGRAL DE RIESGOS AÑO 2014 I. ESTRUCTURA ORGANIZATIVA PARA LA GESTIÓN INTEGRAL DE RIESGOS Estructura de Gestión de Riesgos a nivel de comites y areas involucradas Continuidad de Negocios |2| Estructura de Gestión, Gerencia Integral de Riesgos y Cumplimiento Gerente de Gestión Integral de Riesgos y Cumplimiento Riesgos Financieros Contraloría de Créditos Riesgo Operacional Oficina de Cumplimiento Continuidad de Negocios Analistas de Detección y Análisis Riesgo de Crédito y Concentración Analistas Analistas de Riesgo Operacional Riesgo de Mercado y Liquidez Analista de Riesgos SARLAFT Analista de Riesgo Tecnológico y de Continuidad de Negocios Control y Prevención Oficial de Seguridad de la Información Riesgo Legal y Reputacional Analista Tecnológico II. • • • • • • • • • DETALLE DE LOS PRINCIPALES RIESGOS ASUMIDOS POR LAS ACTIVIDADES DE LA ENTIDAD RIESGO DE CRÉDITO RIESGO DE MERCADO RIESGO DE LIQUIDEZ RIESGO OPERACIONAL RIESGO TECNOLÓGICO RIESGO DE LAVADO DE ACTIVOS Y FINANCIACIÓN DEL TERRORISMO RIESGO REPUTACIONAL RIESGO LEGAL RIESGO DE CONTINUIDAD DEL NEGOCIO |3| 1. RIESGO DE CRÉDITO El Riesgo de Crédito se define como el riesgo derivado de la incertidumbre de la capacidad del deudor frente a sus obligaciones contractuales. Este surge cuando los flujos de caja comprometidos por préstamos y valores pueden no ser pagados oportuna o totalmente según lo estipulado en el contrato, resultando así una perdida financiera para el banco. El Departamento de Riesgos Financieros, mediante la Gestión de Riesgo de Crédito, se encarga del proceso de identificación, medición, monitoreo, control y divulgación del Control de Riesgo de Crédito, en el conjunto de objetivos, políticas, procedimientos y acciones establecidas por el banco para este propósito. El Riesgo de Crédito se maneja a través de políticas y lineamientos relacionados con la Gestión de Riesgo de Crédito. La Gerencia de Riesgos es la encargada de analizar la situación de los clientes que poseen los diferentes tipos de cartera: Banca de Personas, Banca PYME y Banca Corporativa. Éstas a su vez poseen lineamientos para mitigar los riesgos. Una de las herramientas utilizadas para la evaluación de Riesgo de Crédito es la “Simulación de Escenarios de Estrés”, que se lleva a cabo al menos cada seis meses, realizando una simulación de escenarios adversos en la Carteras Corporativas y Carteras de Personas, incluida la tarjeta de crédito, dichas simulaciones son realizadas por la Dirección Regional. Asimismo, el Departamento de Riesgos Financieros realiza las pruebas para la cartera hipotecaria de manera trimestral. Los resultados son expuestos a las Unidades de negocio para que tomen en consideración tales resultados en sus decisiones comerciales. Además, dicho análisis permite obtener una variedad de escenarios que faciliten al Banco desarrollar y ajustar sus propuestas de negocio y establecimiento de políticas. El ciclo de Gestión de Riesgo de Crédito utilizado por la Entidad es el siguiente: Identificacion del Riesgo de Crédito y Concentrancion. Medicion del Riesgo de Crédito y Concentracion. Mitigacion del Riesgo de Crédito y Concentracion. Seguimiento y Control del Riesgo de Crédito Monitoreo del Riesgo de Crédito y Concentracion. Regimen de Provisiones Simulacion de Escenarios de Estres. 1.1. POLÍTICAS ACTUALIZADAS PARA LA GESTIÓN DE RIESGO DE CRÉDITO La Política de la Gestión de Riesgo de Crédito y Concentración fue aprobada por la Junta Directiva, y consta en Acta JD18/2012, celebrada el 12 de septiembre de 2012, tal como lo establece la NPB4-49 en el Artículo 4. La Junta Directiva, dando cumplimiento al Artículo 7 literal d) de NPB4-47, aprobó dicha política, quedando en vigencia por tiempo indefinido. La Política de Gestión de Riesgo de Crédito y Concentración tiene como finalidad permitir mediante los procedimientos del Banco, la identificación de riesgos de crédito mediante un estudio cuidadoso y concreto, de las características de los clientes dentro del contexto o industria en el que se desenvuelven, así como realizar análisis para determinar cuáles son los riesgos de nuevos productos y los inherentes a la cartera que ya se tiene. Se tienen un manual de Gestión de Riesgo de Crédito y Concentración que engloba y documenta los procesos que se realizan para el cumplimiento del ciclo de gestión. |4| 1.2. DESCRIPCIÓN DE LAS METODOLOGÍAS, SISTEMAS Y HERRAMIENTAS UTILIZADAS El proceso de otorgamiento de crédito se divide en dos áreas, una es el proceso para créditos de banca de persona y la otra es créditos de empresas. En banca de personas el proceso se desarrolla en una herramienta automática llamada Mantiz, en el work-flow de Mantiz se integran tres motores, el de pre-valuación, buros (interno y Superintendencia del Sistema Financiero) y oferta comercial. En la pre-valuación se han parametrizado las políticas de créditos que define la Gerencia de Riesgo en conjunto y con el aval de la alta dirección referente a perfil demográfico del cliente, apetito de riesgo, capacidad de pago, normativa emitida por los reguladores, entre otros, los cuales se ajustan en el tiempo de acuerdo a las necesidades de los grupos de interés relevantes para la institución, y que se encuentran detalladas en el L-BAC- Manual de Políticas de Riesgo de Créditos Banca de PersonasSAL-0000226 (v2), en el lineamiento para el otorgamiento de créditos de consumo de banca de personas (v16). El buró interno extrae información interna y externa disponible en la SSF, que se utiliza para evaluar el comportamiento y experiencia crediticia del solicitante. El motor de oferta comercial contiene las condiciones bajos las cuales se generará el crédito de acuerdo al perfil del cliente, y posteriormente pasa al nivel de aprobación que corresponda a cada caso. El otorgamiento de créditos de empresas se define por un instrumento que es el Memorándum de Crédito (MC). El proceso inicia por la prospección del cliente, actividad realizada por el área de negocio. Posteriormente se realiza el análisis de capacidad de pago y factibilidad de otorgar el crédito por la Gerencia de Riesgo, aplicando las políticas definidas para este sector, las cuales se encuentran detalladas en el L- BAC- Manual de Políticas Créditos Empresariales –SAL- 0000192 y en el Manual Operativo de Factoraje, Contraloría de Créditos es quien valida y da seguimiento al cumplimiento de las políticas, concluyendo con el desembolso realizado por el área de operaciones. Una vez originada la relación crediticia se le da seguimiento consistente en la actualización de sus estados financieros y visitas que permiten a la institución asegurar el cumplimiento de las obligaciones del cliente con el banco. En conjunto a las políticas y condiciones aplicadas a los créditos de banca de persona y de empresa, que se encuentran publicados en el módulo de gestión de calidad de la institución por medio de lineamientos y manuales operativos que han sido diseñados, revisados y aprobados por las autoridades correspondientes, también se aplica las políticas y lineamientos referentes a los límites de concentración y cálculo de reservas para cada cartera. Para los créditos de banca de empresas, el cálculo de la provisión se realiza por medio del análisis de los estados financieros a partir de los cuales se obtiene el índice “IRRBAC”, que establece un puntaje de acuerdo a la información suministrada, y este se convierte en un CRR, el cual asigna una calificación a cada empresa que puede estar entre 1 y 9. A partir de esta calificación se realiza la provisión para cada crédito. Otra herramienta que se utiliza es el dashboard de concentración, mensualmente se mide la evolución de la exposición por tipo de cartera y sector económico, para esto la Junta Directiva ha aprobado niveles máximos de tolerancia y se monitorea para poder alertar a las áreas de riesgos y de negocio cuando la institución se está acercando o se han sobrepasado los umbrales que han sido definidos como el apetito de riesgo. 1.3. RESULTADO DE LA EVALUACIÓN EFECTUADA A LA GESTIÓN DE RIESGO DE CRÉDITO Se han realizado evaluaciones por la Dirección Regional de Riesgos del Grupo para la aprobación y desarrollo de Políticas y revisiones por parte de Auditoria interna. 1.4. PROYECTOS ASOCIADOS A LA GESTIÓN DE RIESGO DE CRÉDITO A DESARROLLAR EN 2015 En cumplimiento con la gestión integral de riesgos se ha programado la implementación de diferentes indicadores y herramientas que enriquezcan el análisis del riesgo crediticio en los diferentes portafolios entre ellos estas: |5| • • • Implementación de indicadores para portafolio Pyme y Personas. Elaboración de Stress Test Corporativo y Tarjeta de Crédito. Elaboración de “Dashboard” de indicadores de Riesgo de Crédito como el First Payment Default, Cancelación de créditos por prepago. 2. RIESGO DE MERCADO El Riesgo de Mercado se define como la posibilidad que el Banco incurra en pérdidas como resultado de los cambios en los precios de mercado de los instrumentos financieros en que mantiene exposiciones dentro o fuera del balance. Se estableció la siguiente estructura para la Gestión de Riesgo de Mercado, la cual fue aprobada en Junta Directiva, donde el Departamento de Riesgos Financieros controla el riesgo, informando el desempeño y desviaciones, para efectos de generar reportes e informes que se presentan en el Comité ALICO Local. La política de Gestión de Riesgo de Mercado fue aprobada en sesión 04/2014 celebrada el 14 de octubre de 2014, con vigencia a partir de esa fecha. 2.1. POLÍTICAS ACTUALIZADAS PARA LA GESTIÓN DE RIESGO DE MERCADO La institución cuenta con una Política de Inversiones a nivel regional que establece una serie de controles y parámetros que toman en cuenta la calificación y calidad de los emisores, límites específicos de inversión y la diversificación de los portafolios del grupo. Para el monitoreo y control de la gestión de riesgo de mercado se han identificado los límites establecidos en la “Política de liquidez e inversión” y la “Política de Gestión de Riesgo de Mercado” la cual se utiliza para la administración de las operaciones de la tesorería del banco. 2.2. DESCRIPCIÓN DE LAS METODOLOGÍAS, SISTEMAS Y HERRAMIENTAS UTILIZADAS El proceso de monitoreo y medición del riesgo se realiza a través del seguimiento de los procesos de ejecución y liquidación de las negociaciones de los instrumentos de inversión, de esta manera el Middle Office en el proceso de inversiones, previo a |6| la autorización, se revisan las condiciones de la inversión y posterior a la negociación se verifica que la inversión se haya cerrado y contabilizado de acuerdo a lo aprobado y se verifica la inclusión de la compra en el Módulo de Administración y Control de la Cartera de Inversión. Posteriormente, se verifica la aplicación de la política y se calcula el riesgo de tasa de interés en inversiones de portafolio y se realizan las pruebas de stress. Los resultados se presentan de forma mensual en el Comité de Activos y Pasivos y en el Comité de Administración Integral de Riesgo. Además se utiliza el modelo de GAP de tasas para la medición de los activos y pasivos sensibles a cambios de tasas. Se revisa el Indicador de Riesgo de Tasa de Interés de manera diaria, con base en la metodología que pondera el valor de mercado de las inversiones con relación a las duraciones modificadas y los factores de sensibilidad estimados a cambios de tasa diario. Se realiza también una revisión de las operaciones diarias para detectar la posibilidad de estar fuera del rango de precios de transacción. De los controles que se monitorean al observar una variación fuera de los límites establecidos por política se activan alertas para las unidades y comités competentes. Asimismo se da un seguimiento diario a los indicadores de control para IBC. 2.3. RESULTADO DE LA EVALUACIÓN EFECTUADA A LA GESTIÓN DE RIESGO DE MERCADO Como parte del plan de trabajo, en el presente ciclo se llevaron a cabo Auditorías para verificar la capacidad de los controles creados para el buen funcionamiento del Middle-Office en las operaciones bursátiles. La institución se encuentra comprometida con el cumplimiento de normativas y regulaciones por lo que se cumple con la Ley Sarbenes Oxley y uno de los principales controles que se tiene en la medición del riesgo de mercado es de carácter SOX, el cual ha sido aprobado por el Líder SOX para ser elaborado dentro de la Matriz de Tesorería que otorga responsabilidades específicas a la gestión integral de riesgos. Dicho control también ha sido evaluado por auditoria interna. 2.4. PROYECTOS ASOCIADOS A LA GESTIÓN DE RIESGO DE MERCADO A DESARROLLAR EN 2015 Para el 2015 el principal reto es la automatización del Valor en Riesgo de las inversiones por medio del sistema Bloomberg para dar seguimiento a las distintas inversiones, permitiendo un mejor detalle de cada título y su descripción actualizada. 3. RIESGO DE LIQUIDEZ La institución tiene como filosofía cumplir con sus obligaciones contractuales de tal manera que los acreedores puedan tener acceso a sus recursos en el momento establecido. Para ello se han implementado herramientas que permiten medir la volatilidad de los depósitos, suficiencia de reservas de liquidez y adecuado manejo de los fondos líquidos, para utilizarlos de la manera más eficiente, tomando en cuenta los cambios en el entorno que pudieran dificultar la disponibilidad inmediata de fondos. Entre las actividades que se realizan para una adecuada Gestión de Riesgo de Liquidez se encuentran: • Revisión de la política, estrategia, metodología para identificar, medir, monitorear, controlar, mitigar y divulgar el riesgo de liquidez y someter a consideración del Comité de Administración Integral de Riesgos. • Revisión del Plan de contingencia para gestionar el riesgo de liquidez en situaciones adversas extremas, y someter a consideración del Comité de Administración Integral de Riesgos. • Revisión del Manual para la gestión de riesgo de liquidez, donde se establece los procedimientos y responsables en la gestión de la liquidez. • Implementación de un sistema de flujo de información basado en reportes objetivos y oportunos, que permita analizar las exposiciones al riesgo de liquidez y el cumplimiento de los límites. • Análisis de las condiciones del entorno económico, de la industria y de los mercados en los que opera y sus efectos en la posición del riesgo de liquidez. • Realización periódica del análisis de estrés de las exposiciones al riesgo de liquidez, incorporando señales de deterioro por los análisis. • Cumplir con los requerimientos que la Superintendencia del Sistema Financiero realiza en materia de liquidez. |7| 3.1. POLÍTICAS ACTUALIZADAS PARA LA GESTIÓN DE RIESGO DE LIQUIDEZ Durante el año 2014, la Junta Directiva aprobó la actualización del Plan de Contingencia de Liquidez, el cual establece los roles y responsabilidades ante un evento de contingencia, eventos que activas el plan, fuentes de fondeo interna y externas como alternativa ante una eventual crisis, procedimientos para administrar la crisis y canales de comunicación que deben utilizarse El plan mantiene la congruencia con lo establecido en la política de gestión de riesgo de liquidez aprobada en el 2012 y con el manual de liquidez. Dicho plan se desglosa de la siguiente manera: En el manual se definen las áreas involucradas y los roles y responsabilidades en la toma del riesgo, en las acciones para mitigarlo y monitorearlo. También se establece la documentación y procedimientos que se deben seguir para la prudente actuación en el proceso de identificación, medición, monitoreo y mitigación del riesgo de liquidez. El Manual se compone de la siguiente información: La Junta Directiva, dando cumplimiento al Artículo 7 literal d) de la NPB4-47 y al Artículo 5 literal b) de la NRP-05, aprobó la actualización del Plan de Contingencia en sesión 04/2014 celebrada el 14 de octubre de 2014, con vigencia a partir de esa fecha y el Manual de Liquidez entro en vigencia a partir del 01 de octubre 2013. 3.2. DESCRIPCIÓN DE LAS METODOLOGÍAS, SISTEMAS Y HERRAMIENTAS UTILIZADAS Para medir el riesgo de liquidez se construyen Indicadores como el Calce de Plazos, Cálculo de las Reservas, Activos Líquidos, Liquidez Intrames, modelo regional de liquidez, entre otros. En el aspecto de la medición al riesgo de liquidez en el corto, mediano y largo plazo, se efectúan los siguientes análisis: el coeficiente de liquidez neta, cumplimiento de la reserva, indicadores de liquidez legales, calculo y medición del riesgo de tasa de interés, evolución de los resultados de la liquidez por |8| plazos de vencimiento y la capacidad de respuesta en escenarios de estrés, volatilidad de depósitos, variación de depósitos, así como también el seguimiento de indicadores para la medición de la liquidez para la casa de corredores de bolsa del grupo, Inversiones Bursátiles Credomatic. La identificación del riesgo de liquidez consiste en un proceso que reconoce los factores de sensibilidad, que al presentar comportamientos adversos, retardan o aceleran el ingreso o salida de fondos, impactando la liquidez. Se debe cuantificar el riesgo de liquidez con el objeto de determinar el cumplimiento de las políticas, límites fijados, y medir el posible impacto económico en los resultados financieros. Para efectos de mitigar el riesgo de liquidez se establecerán controles desarrollados por la Gerencia de Planificación y Finanzas y el Departamento de Riesgos Financieros de la Gestión Integral de Riesgos. El proceso de monitoreo consiste en la evaluación continua de las posiciones de riesgo de liquidez asumidas, así como al funcionamiento de todo el sistema de gestión del riesgo de liquidez. Durante el año 2014 se presentaron los requerimientos de las Normas Técnicas para la Gestión del Riesgo de Liquidez NRP05, el cual consiste en un monitoreo mensual de la liquidez según las premisas elaboradas por la institución y especificaciones emitidas por la SSF, el resultado de este informe al cierre del 2014 fue satisfactorio para la organización. 3.3. RESULTADO DE LA EVALUACIÓN EFECTUADA A LA GESTIÓN DE RIESGO DE LIQUIDEZ Se realizó revisión por parte de Auditoría para verificar el correcto funcionamiento de los procesos, de la información y análisis efectuados a la fecha, y de la correcta segregación de funciones, destacando la vital separación de Front, Middle y Back Office. 3.4. PROYECTOS ASOCIADOS A LA GESTIÓN DE RIESGO DE LIQUIDEZ A DESARROLLAR EN 2015 Los objetivos del plan de trabajo para el 2015 son: Elaboración de indicadores adicionales de liquidez como el IGL Indicador Global de Liquidez. Revisión integral de los documentos vigentes concernientes a la gestión del riesgo de liquidez. 4. RIESGO OPERACIONAL 4.1. DEFINICION DE LA ESTRATEGIA UTILIZADA PARA LA GESTION DE RIESGO OPERACIONAL Para BAC CREDOMATIC la estrategia utilizada en la gestión de riesgo operacional es basada en los procesos de identificación, evaluación, mitigación, control, reporte de incidentes, monitoreo y comunicación (generación de información gerencial) de riesgos en un ciclo continúo. Estos procesos son desarrollados de forma descentralizada en las áreas funcionales, siguiendo los estándares definidos por la Unidad Integral de Riesgo, de tal manera que el dueño de los riesgos es el gerente de área correspondiente, quien debe certificar toda evaluación de riesgos y controles. La Gerencia de Gestión Integral de Riesgo y Cumplimiento por medio del departamento de Riesgo Operacional realiza un seguimiento continuo del desempeño de la gestión y también consolida información para efectos de generar reportes e informes para escalar en Comité de Riesgo, por tanto se tiene aprobada la estructura y recursos para la Gestión de Riesgo Operacional por parte de Junta Directiva. 4.2 DETALLE DE METODOLOGIA EMPLEADA PARA LA GESTION DE RIESGO OPERACIONAL Credomatic El Salvador con el fin de gestionar el riesgo operativo fundamenta su gestión de riesgo operacional en la reducción de vulnerabilidad y severidad de los riesgos a los que la organización pueda estar expuesta, y sobre todo en impulsar a nivel de toda la organización la cultura de prevención y control de este riesgo. Por tanto, se implementa el desarrollo de un Ciclo de Gestión de Riesgo Operacional que incluye las siguientes etapas: |9| 1. 2. 3. 4. 5. 6. Identificación, evaluación y monitoreo de riesgos. Mitigación de los principales riesgos operativos. Evaluación de controles del proceso. Medición de riesgos y reportes de incidentes. Gestión del ambiente de control. Generación de reportes. Todo lo anterior es un proceso continuo dentro de la organización. Cada uno de los procesos mencionados se realiza de forma descentralizada en cada una de las unidades funcionales, con estándares definidos y aprobados por Junta Directiva y como responsable de implementación Unidad Integral de Riesgo| Riesgo Operacional. Para ello, se ha desarrollado una metodología que consiste en proporcionar a los participantes del proceso una guía de acciones a realizar donde se despliega los mecanismos y herramientas que comunican y sirven de referencia a los involucrados tener claro qué hacer, como realizarlo, a quien escalar, con el propósito de asegurar el cumplimiento de las diferentes directrices relacionadas a la gestión. Para el año 2014 y con el propósito de llevar a cabo el proceso de revisión anual de dicha metodología en cumplimiento a lo dispuesto por la “Normas para la Gestión del Riesgo Operacional de las entidades financieras (NPB4-50), en ese sentido se expusieron los elementos de la Política y el Manual para la gestión de riesgo operacional, así como las herramientas relacionadas a la identificación, mitigación, generación de indicadores, evaluación de ambiente, reporte de incidentes y evaluación de las unidades funcionales. La metodología de Gestión de Riesgo Operacional, fue ratificada en Comité de Riesgo Operacional, y consta en Acta 008/14 del 29 de Octubre del 2014, para ser propuesta en Junta Directiva, tal como lo establece el Artículo 6 de NPB4-50, “Norma para la Gestión de Riesgo Operacional de las Entidades Financieras”. La Junta Directiva ratificó la Metodología para la Gestión de Riesgo Operacional en todas sus partes. Los principales pilares de la metodología de riesgo operacional se encuentran en: Marco Referencial Política de Gestión de Riesgo Operacional Manual de Gestión de Riesgo Operacional Formularios y/o herramientas de trabajo Programas de Capacitación Objetivo de Gestión Instancia de Aprobación Proporciona las directrices generales, funciones y responsabilidades para la identificación, evaluación, control, monitoreo y reporte de los riesgos operativos que pueden afectar a la organización; con el objetivo de asegurar su adecuada gestión, mitigación o reducción de los riesgos que estén dentro del apetito de riesgo aprobado, y poder tener entonces una seguridad razonable con respecto al logro de los objetivos organizacionales Junta Directiva Tiene como finalidad establecer, estandarizar, comunicar y emitir directrices del proceso para la identificación, evaluación, control, monitoreo, reportar los riesgos operativos; así como la comunicación respectiva y a los canales establecidos de dicha gestión. El presente Manual incluye el desarrollo y despliegue de la Metodología aplicada para la Gestión de Riesgo Operacional. Junta Directiva Insumos proporcionados a los gestores de riesgo operacional, que permiten la obtención de la información sobre los riesgos relacionados con procesos, personas, infraestructura, tecnologías de información y cumplimiento con leyes, regulaciones y políticas. Junta Directiva Consiste en el despliegue y comunicación de la gestión al personal involucrado directamente en la gestión y a toda la Junta Directiva | 10 | Comité de Riesgo Operacional Comité de Riesgo Operacional Comité de Riesgo Operacional Reportes y Comunicación organización para la adopción de cultura de prevención y control del riesgo operacional. Comité de Riesgo Operacional Escalar información sobre resultados del seguimiento de la gestión, así como reportar oportunamente y de forma completa las fallas en los diferentes factores de riesgo operacional. Junta Directiva Comité de Riesgo Operacional 4.3 Identificación y evaluación de los riesgos operacionales de eventos críticos ocurridos durante el año, por proceso y/o unidad de negocio y apoyo; el detalle de las medidas adoptadas para administrarlos. Alcance de la Gestión de Riesgo Operacional Al cierre del año 2014 de BAC|CREDOMATIC El Salvador contó con 107 unidades funcionales correspondientes a 21 gerencias de áreas que son responsables directos de la ejecución, las cuales durante el año desarrollaron cada una de las etapas del ciclo de gestión de riesgo operacional; Es denotar que la gestión ha venido desarrollándose por años anteriores como sana práctica con el objetivo de preparar a la organización en el cumplimiento de requerimientos regulatorios y como parte de su Sistema de Control Interno que desarrolla. Alcance de Unidades Funcionales 120 100 80 108 107 Año 2012 Año 2013 Año 2014 81 71 60 106 40 20 Año 2010 Año 2011 Perfil de Riesgo Operativo El perfil de riesgo operativo de BAC|CREDOMATIC El Salvador al cierre del año 2014 cuenta con 2,048 riesgos identificados en los 227 procesos que la organización ejecuta; estos resultados son producto de la evaluación y calificación por parte de los dueños de unidad funcional acorde a la metodología establecida, y está dada en términos de vulnerabilidad y severidad de los riesgos con relación a los controles implementados que se llevan a cabo para evitar que los riesgos se materialicen. Año 2010 Año 2011 Año 2012 Año 2013 227 Año 2014 227 Procesos 115 128 160 Riesgos 685 1,224 1,735 2,004 2,048 Riesgos críticos 105 234 470 503 500 433 450 549 650 1,136 1,032 464 71 81 106 108 107 Riesgos Cubiertos Eventos e IRO Unidades Funcionales | 11 | En el 2014 los riesgos principales representaron un 24% del total de riesgos identificados, de los cuales se ha dado inicio a la creación de planes de mitigación que comprenden oportunidades de mejora y/o rediseño en procesos, incorporación de nuevos y/o modificación de controles existentes, resultados de registro de eventos de riesgos operativos. Seguimiento de Gestión de Riesgo Operacional En el presente ciclo, se llevaron a cabo reuniones, capacitaciones, comunicaciones de resultados, reporte de eventos e incidencias de riesgo operacional a los dueños de unidad funcional como responsables directos, con el propósito de procurar siempre los mejores resultados en base a plan de trabajo establecido, y siempre procurando disminuir la posibilidad de pérdidas provocada por factores de riesgo operacional. Del seguimiento y evaluación del Ciclo de Gestión de Riesgo Operacional se tiene un monitoreo constante, el comparativo de Avance en la gestión de los cuatro periodos de Evaluación por Unidades Funcionales con entrega de resultados de forma bimensual y con un entregable al cierre de ciclo, por lo que se puede apreciar el comportamiento y evolución en el logro de cumplimiento por etapas. Resultados por Compañía BANCO DE AMERICA CENTRAL - BAC Compañía BAC la conforman 12 Gerencias de área donde se aprecia que de acuerdo a la nota promedio de Ciclo General RO que fue de 85.20% se tuvo un total de seis (6) gerencias estuvieron por encima, y dos (2) gerencias de control superaron los resultados de nota promedio de Calificación al corte del IV trimestre evaluado. | 12 | Resultados por Compañía CREDOMATIC DE EL SALVADOR - COM Compañía COM la conforman 10 Gerencias de área donde se aprecia que de acuerdo a la nota promedio de Ciclo General RO que fue de 85.20% se tuvo un total de cuatro (4) gerencias estuvieron por encima, y dos (3) gerencias superaron los resultados de nota promedio de Calificación al corte del IV trimestre evaluado. | 13 | Resultados por Compañía INVERSIONES BURSATILES CREDOMATIC - IBC Compañía IBC está conformada por dos (2) unidades funcionales donde se aprecia que de acuerdo a la nota promedio de Ciclo General RO que fue de 85.20% estuvo por encima de los resultados, ubicándose con -1.85% menos de resultados de nota promedio de Calificación al corte del IV trimestre. Gerencia de Gestión Integral de Riesgos y Cumplimiento- Riesgo Operacional Indicador Riesgo Operativo Año 2014 INVERSIONES BURSATILES CREDOMATIC Periodicidad: Trimestral Responsable de Medición: Jefatura de Riesgo Operacional Mes Tipo Negocio IBC IBC Gerencia dic-2014 Identificación Monitoreo 20% 10% ADMINISTRACIÓN DE CARTERA OPERACIONES BURSATILES PROMEDIO IBC 95.27% 95.27% 95.27% Evaluación Mitigación y del Ambiente Seguimiento de Control 25% 93.14% 93.14% 93.14% 87.40% 87.40% 87.40% 10% Reporte de Eventos Calificación Total 35% 100.00% 100.00% 100.00% 75.00% 75.00% 75.00% 86.47% 86.47% 86.47% Resultados por Compañía BAC LEASING Compañía BAC Leasing obtuvo un 86.34% que de acuerdo a la nota promedio de Ciclo General RO que fue de 85.20% estuvo por encima de los resultados, ubicándose con -1.98% menos de resultados de nota promedio de Calificación al corte del IV trimestre. Gerencia de Gestión Integral de Riesgos y Cumplimiento |RO Indicador Riesgo Operativo Año 2014 BAC LEASING Periodicidad: Trimestral Responsable de Medición: Jefatura de Riesgo Operacional Mes Tipo Negocio BAC Gerencia LEASING dic-2014 Evaluación Mitigación y del Ambiente Seguimiento de Control Identificación Monitoreo 20% 10% 25% 10% 100.00% 100.00% 100.00% 75.47% Reporte de Eventos Calificación Total 35% 75.00% 86.34% Registros de Eventos de Riesgo Operacional Durante el año 2014 se tuvo una cultura de reporte de fallas por riesgo operacional, donde permitió el registro de 464 eventos de riesgo operacional, que formaron parte del sistema de evaluación y calificación del ciclo de gestión de riesgo operacional. Para el cierre de dichos reportes se solicitaron realizar acciones de mitigación y/o cambios en los procesos tanto en forma manual como sistemas para evitar que los eventos vuelvan a ocurrir, en la mayoría de casos no se registraron pérdidas de riesgo operacional, sino exposiciones de pérdidas que pueden generar pérdidas económicas y pueden o no afectar el estado de resultados. El registro de reportes de eventos de riesgo es consolidado por compañías y procesos que ejecutan y se lleva un recuento de forma mensual y por estatus de atención, donde se evidencia el compromiso de la gestión por parte de las gerencias y unidades funcionales por área. A nivel de organización se trabajó en programa de capacitación dirigida especialmente a preparar los enlaces de riesgo operativo, con el objetivo de certificarlos y facultarles en los conocimientos de reporte de incidencias de riesgo operativo. | 14 | Al cierre del año 2014, se presentan las siguientes tendencias de reporte de eventos de riesgo operacional: Se lleva un control por eventos de riesgo operacional por Compañía donde se aprecia la tendencia de cultura de reporte por parte de los involucrados de la gestión. Reporte de incidencias | Histórico y tendencias de reporte BAC Reporte de incidencias | Histórico y tendencias de reporte COM | 15 | Reporte de incidencias | Histórico y tendencias de reporte BAC- Leasing Reporte de incidencias | Histórico y tendencias de reporte IBC Registro de Incidencias de Riesgo Operacional A partir de año 2013 se inicia con registro de pérdidas con riesgo operacional, donde se procedió a la creación de cuentas contables por compañías de acuerdo a catalogo autorizado por el regulador. La presente metodología lo que busca es el registro de pérdidas por cualquier factor de riesgo operativo y clasificado por líneas de negocio. Detalle de pérdidas del Grupo BAC| CREDOMATIC al corte del mes de diciembre 2014 que asciende a $565,521.95, las cuales se presentaron por tipo de causas raíz, donde Fraude Externo posee el 93% del total de las pérdidas. Estas pérdidas están consolidadas tanto en la base 3.1 como en los registros contables. | 16 | Detalle de Medidas adoptadas para administración y mitigación de riesgos críticos. De acuerdo análisis de causa raíz de los factores de riesgo operacional afectados durante el presente año, se implementaron acciones que permitieron modificación de procesos existente, identificación de puntos de compromiso de datos, campañas de capacitación a comercios afiliados y puntos de negocios, modificación de alertas de prevención y monitoreo, incorporación de políticas de gestión de riesgos por reclamaciones de clientes, segmentación de cartera, campaña de sustitución de plásticos comprometidos, e incorporación de controles y segregación de funciones en los procesos operativos vulnerados donde se relaciona fraude interno. 4.4 DETALLE DE LOS EJECUTIVOS RESPONSABLES DE LAS ACTIVIDADES DE CONTROL DE RIESGOS DE LOS EVENTOS CRITICOS OCURRIDOS DURANTE EL AÑO. | 17 | 4.5 PLAN DE LAS ACTIVIDADES A DESARROLLAR POR LA GERENCIA INTEGRAL DE RIESGO Y CUMPLIMIENTO / RIESGO OPERACIONAL. Para el 2015 se tiene el compromiso de continuar trabajando en la gestión de riesgo operacional, para proporcionar a los gestores de riesgo herramientas que faciliten la gestión y permitan seguir construyendo la cultura de riesgo operativo; dentro de los principales proyectos se tiene: Llevar la gestión por procesos y no por unidades funcionales. Implementación de metodología de evaluación de controles. Control de riesgos principales mediante el fortalecimiento del seguimiento de planes de mitigación a través de planes de acción. Valoración y estudio de software que permita contar con un flujo de administración de todas las etapas de ciclo de gestión de riesgo operacional. 5. RIESGO TECNOLÓGICO El Riesgo Tecnológico es la posibilidad de que la interrupción, alteración o falla de los Servicios de TI (constituidos por la infraestructura de TI, sistemas de información y base de datos) provoque pérdidas financieras, insatisfacción del cliente, interrupción en la continuidad del negocio, incumplimiento regulatorio o afectación en la revelación financiera de la institución. La Gestión de Riesgos Tecnológicos tiene como finalidad identificar eventos de riesgo o incidentes asociados a interrupciones, fallas y contingencias tecnológicas que puedan afectar al Grupo, y asegurar la adecuada administración de los mismos por parte de las Unidades Funcionales que administran tecnología, con el fin que dichos riesgos permanezcan dentro del apetito de riesgo aprobado por la Junta Directiva, contribuyendo de esta forma al logro de los objetivos organizacionales. Las etapas de la Gestión de Riesgo Tecnológico se presentan a continuación: Establecimiento del contexto de riesgo tecnológico Respuesta y Seguimiento a los riesgos tecnológicos Identificación y evaluación de riesgos tecnológicos Definición y Seguimiento de Indicadores de riesgos tecnológicos | 18 | 5.1. POLÍTICAS ACTUALIZADAS PARA LA GESTIÓN DE RIESGO TECNOLÓGICO La política establece los principios básicos que gobiernan la Gestión de Riesgo Tecnológico y plantea el marco para dar cumplimiento a los criterios de seguridad y calidad de la información, la cual se maneja a través de canales y medios de distribución de productos y servicios para clientes y usuarios. BAC|CREDOMATIC, al ser una institución Bancaria que opera a nivel regional, requiere que la administración cumpla con las regulaciones locales, así como también con la alineación al Lineamiento de Riesgo Operativo Regional, L-CORP-Gestión de Riesgos Operativos –REG-0000031, el cual enmarca la Gestión de Riesgo Tecnológico. La Junta Directiva, dando cumplimiento al Artículo 7 literal d) de la NPB4-47, aprobó toda la documentación la documentación regional publicada para la Gestión de Riesgo Tecnológico aplicable a todas las empresas del conglomerado IFBAC, siendo que la gestión se desarrolla de forma corporativa. Sesión celebrada en Septiembre de 2014. 5.2. DESCRIPCIÓN DE LAS METODOLOGÍAS, SISTEMAS Y HERRAMIENTAS UTILIZADAS La gestión de Riesgo Tecnológico para BAC|CREDOMATIC está enfocada bajo dos grandes pilares: • Riesgos Operativos de TI, y • Riesgos Tecnológicos asociados a componentes, por la notable diferencia de enfoque es que se utilizan las siguientes metodologías. Riesgo Operativo en Tecnología (ROTI) Evaluación por Unidades Funcionales Riesgo Tecnológico (RT) Evaluación por Servicios Críticos Las metodologías están documentadas según se detalla: Manual Metodología Regional para la Gestión de Riesgo Tecnológico, el cual contiene los siguientes capítulos para su aplicación: I - Estándar Regional para la Identificación y Evaluación de Riesgos Tecnológicos II - Estándar regional para la creación de planes de mitigación y seguimiento de riesgos tecnológicos Manual Operativo para Gestión de Riesgos Operativos del grupo BAC|Credomatic El Salvador, del cual aplican principalmente los siguientes capítulos: Capítulo 4: Estándar para la Identificación, Evaluación y Monitoreo de Riesgos Operacionales. Capítulo 6: Estándar para la Creación de Planes de Mitigación y Seguimiento de Riesgos Operacionales. 1) Riesgo Operativo de TI: Procesos del área de TI La metodología empleada para la gestión de riesgos operativos en las áreas de TI está fundamentada en la identificación, evaluación, control, monitoreo y reporte de riesgos. Todas estas actividades se desarrollan sobre la base de los procesos | 19 | pertenecientes al área de TI (gestión de incidentes, gestión de problemas, gestión de cambios, gestión de proyectos, entre otros). Se evalúa y se gestionan los riesgos en base a las mejores prácticas (Cobit), procesos definidos por la organización, lineamientos y procedimientos. Para el año 2014, las cinco Unidades Funcionales del área de TI realizaron el ciclo de riesgos correspondiente al alcance de los procesos, los cuales fueron definidos por las jefaturas del área. El resumen de dicha gestión es el siguiente: UNIDADES FUNCIONALES OPERACIONES DE TI DESARROLLO DE SISTEMAS SEGURIDAD DE SISTEMAS SOPORTE TÉCNICO INCIDENT MANAGER Total de Riesgos/Planes Alcance Riesgo Operativo en TI RIESGOS RIESGOS IDENTIFICADOS PRINCIPALES 22 7 35 13 36 7 34 16 14 1 141 44 PLANES DE MITIGACION 5 9 2 6 1 23 Nota: Algunos planes de mitigación cubren más de un riesgo principal. 2) Riesgo Tecnológico : Servicios críticos La metodología empleada para gestionar el riesgo tecnológico bajo el enfoque de servicios críticos se basa en: a. b. c. d. El establecimiento del contexto de riesgos tecnológicos. Identificación y evaluación de riesgos tecnológicos. Definición y seguimiento de indicadores de riesgos tecnológicos. Respuesta y seguimientos a los riesgos tecnológicos. El alcance de la gestión de riesgos tecnológicos para BAC|CREDOMATIC se basa en los servicios que la organización ha definido como críticos, por lo que se busca atender los riesgos asociados a los componentes tecnológicos relacionados. A continuación el resumen de dicha gestión para el año 2014: Servicios críticos trabajados Riesgos Identificados 59 110 16 16 46 19 Riesgos Principales 13 3 10 3 3 3 Pago a Comercios Afiliados Autorizaciones PPP Retiros Bancarios Recepción de Pagos TH Recepción de Pagos de Préstamos Banacarios Depósitos Bancarios 16 3 Total 282 38 Nota: Este plan está en proceso de implementación y desarrollo, actualmente nos encontramos en la etapa de identificación de riesgos principales para posteriormente emitir planes de mitigación. 5.3. RESULTADO DE LA EVALUACIÓN EFECTUADA A LA GESTIÓN DE RIESGO TECNOLÓGICO En relación a los resultados de evaluación efectuada a la Gestión de Riesgo Tecnológico, la Dirección Regional del Grupo realizó una serie de evaluaciones a la Gestión de Riesgo Tecnológico, las cuales consistían en: 1. Seguimiento al ciclo de Gestión de Riesgos Operativos en el área de Sistemas. 2. Implementación del Riesgo Tecnológico según alcance predefinido. 3. Desarrollo de los cronogramas con las actividades relacionadas al plan de trabajo 2014 (evaluación Unidad Funcional, Incidentes y Ciclo de Riesgos). | 20 | El resultado de la evaluación 2014 fue presentada en Enero 2015 a la Administración Superior según calificación de la Dirección Regional fue 100%. 5.4. PROYECTOS ASOCIADOS A LA GESTIÓN DE RIESGO TECNOLÓGICO A DESARROLLAR EN 2015 Las principales metas a desarrollar para cumplir con iniciativas regionales relacionadas con la Gestión de Riesgo Tecnológico son: • • • • Coordinación y definición de alcance a partir de análisis regionales (Continuidad de Negocios) Capacitación y despliegue de la metodología de riesgos Despliegue de la herramienta de evaluación de unidades funcionales (RT y RO TI) Desarrollo de un sistema que sirva de repositorio para la estructura de los entendimientos de servicios críticos 6. RIESGO DE LAVADO DE ACTIVOS Y FINANCIACIÓN DEL TERRORISMO El año 2014 marco un gran cambio regulatorio en el tema de Prevención de Lavado de Dinero y Financiación al Terrorismo a todas las instituciones financieras, no obstante en nuestra institución muchos de estos requerimientos ya formaban parte de nuestras actividades y estaban siendo implementadas como una mejor prácticas. El Banco América Central mantiene su compromiso de administrar el riesgo de lavado de activos y financiamiento del terrorismo, a fin de prevenir, detectar y controlar la utilización de nuestros productos y servicios para el movimiento de fondos provenientes de actividades ilícitas. En concordancia con estos cambios normativos, en el año 2014 se realizaron cambios a nuestros lineamientos y Manual del Sistema de Administración de Riesgos de Lavado de Activos y Financiamiento del Terrorismo con el fin de robustecer los controles y actualizar las políticas aplicadas, también definir tareas y responsabilidades a desarrollar por las diferentes áreas. Respecto al programa de capacitación presencial, realizamos un proyecto orientado a reforzar conocimientos por unidades de negocio, reforzando y dando ejemplos específicos para cada uno de estos enfocándonos en áreas como banca privada, bancas corporativas, oficiales de cajas, servicio al cliente, tarjetas, así mismo se dio seguimiento a un refuerzo en temas de prevención de lavado de dinero de forma virtual, logrando cubrir un 100% del personal capacitado. Dentro de la cultura de prevención al lavado de dinero y financiamiento al terrorismo, se realizaron actividades adicionales tales como la Semana de Cumplimiento, recibimos la visita de nuestro Director de Cumplimiento que proporciono una serie de capacitaciones a personal de negocios, reflejando el compromiso de nuestra Institución con el tema de Prevención de Lavado de Dinero. | 21 | En cuanto al fortalecimiento del Sistema de Administración SARLAFT, se continuó con la actualización de nuestra Matriz de Riesgo, y con la evaluación de los controles implementados para la mitigación de los riesgos, a través de las visitas didácticas realizadas a las Agencias de nuestra Institución, estas fueron realizadas durante el segundo semestre por la Oficina de Cumplimiento, adicionalmente se realizaron auditorías a nuestros intermediarios financieros para comprobar velar por la política de Conozca a tu Intermediario, asegurándonos de que cumplan con controles para prevenir los riesgos mencionados anteriormente. Como parte del programa de Cumplimiento además se dio cumplimiento a los requerimientos de los entes reguladores, se realizó el debido seguimiento a los informes de inspección de las diferentes auditorías realizadas a la Oficina de Cumplimiento, dicha gestión quedo reflejada en las métricas reportadas mensualmente a Comité de Cumplimiento y Junta Directiva. Este mismo año se inició con la implementación del proyecto de Segmentación estadística, la cual nos permitirá conocer el mercado y productos a ofertar, los clientes, zonas geográficas (colocándolos en clúster) y al mismo tiempo darles una categoría o nivel de riesgo, y crear modelos predictivos que es la asignación de los segmentos a los que corresponden los clientes de acuerdo a los factores de riesgo que se apliquen, también nos brindara de una manera factible la aplicación de nuevos criterios y parámetros de prevención del lavado de dinero y financiación al terrorismo. Esta metodología está basada en la NRP-08 Normas Técnicas para la gestión de los riesgos de Lavado de Dinero y de Activos y de Financiación al Terrorismo, emitida por el Banco Central de Reserva (BCR) la cual fue analizada y se está en proceso de implementación. Finalmente continuamos atendiendo y administrando nuestra herramienta de monitoreo transaccional en el SMT, la cual es una herramienta con muchos beneficios ya que las áreas de negocio aportan insumos para el conocimiento más adecuado de las operaciones de los clientes. 7. RIESGO REPUTACIONAL En el marco de la gestión integral de riesgos, la gestión del riesgo de reputación ha estado marcada por un enfoque en el cumplimiento de las expectativas de los grupos de interés: Clientes, entes reguladores, empleados, proveedores e intermediarios, accionistas, comunidad / sociedad. En términos generales, en la entidad se ha establecido el riesgo de reputación como el riesgo asociado a una opinión o percepción pública que surge de cualquier acción, evento o circunstancia que pueda incidir en nuestra reputación corporativa en sentido negativo. En este sentido, el riesgo de reputación se materializa en la posibilidad de pérdida o afectación en la reputación, de forma que afecte la percepción que el entorno social tiene sobre la misma por desprestigio, mala imagen, publicidad negativa o engañosa que produzca un efecto de pérdida directa o indirecta en el valor de la entidad, pérdida de clientes, disminución de ingresos o procesos administrativos o judiciales. Durante el año 2015 el grupo BAC Credomatic mantuvo una estrategia de seguimiento a las 4 dimensiones del Plan de gestión del riesgo de reputación: Orientación al Cliente, Ciudadanía, Solidez e Innovación. Políticas actualizadas para la gestión del riesgo de reputación Existen diversas políticas asociadas a la gestión de Riesgo de reputación, entre las que se incluyen: - Lineamiento manejo de la comunicación con medios - Revisión de promociones, nuevos productos y servicios (Aprobación de proyectos de productos bancarios y crediticios). - Lineamiento corporativo de atención al cliente - Lineamiento para compartir mejores prácticas - Manual del Sistema de Gestión Ambiental - Lineamiento de comunicación interna y externa ambientales - Política para la desvinculación de clientes BAC Credomatic | 22 | Descripción de las metodologías, sistemas y herramientas desarrolladas para la gestión del riesgo de reputación Prioridad 1. En cuanto a la “Orientación al cliente” se aseguró el cumplimiento de los siguientes objetivos: 1. 2. 3. 4. 5. Se cuenta con una estructura de apoyo en temas de servicio y transparencia a través de la Gerencia de Servicio al Cliente. Existe una estructura de apoyo (facilitadores internos-para el desarrollo de cierre de brechas en el modelo de gestiones) a través de la Gerencia de Servicio al Cliente. La existencia de un proceso para dar seguimiento a las denuncias interpuestas por los clientes ante los reguladores, a través del área de Servicio al Cliente y Transparencia. La existencia de un proceso para la atención de reclamos y redes sociales en aras de asegurar la protección al consumidor. Revelación de resultados de Imagen Reputacional ante los Reguladores, a través de la Gerencia de Servicio al Cliente. Asimismo, se realizaron algunas tareas orientadas a promover la agilidad en los trámites de la institución mediante el uso de servicios electrónicos y reducir el tiempo de espera en agencias Prioridad 2. Sobre el tema de “Ciudadanía”, el trabajo se destinó a visibilizar a BAC|CREDOMATIC como una entidad que invierte en causas sociales y fomenta la educación financiera. En el primer punto, se llevó a cabo una gestión de comunicación del Programa Dona Tu Vuelto a través de redes sociales y medios tradicionales. Dicho programa consiste en una suscripción que permite a los tarjetahabientes destinar el remanente de sus compras ajustadas al próximo dólar a una fundación previamente seleccionada de acuerdo a las opciones ofrecidas por BAC|CREDOMATIC. En cuanto al fomento de la Educación Financiera, se llevaron a cabo las siguientes actividades: 1. 2. 3. Consejos Financieros en Redes Sociales Promover el ingreso al sitio web www.mipresupuestovirtual.com, como una plataforma disponible para organizar las finanzas de nuestros colaboradores. Promoción de la nueva página de educación financiera Prioridad 3. La “Solidez” no sólo significa un elemento integrador de la estrategia de gestión del riesgo de reputación, sino la importancia de divulgar las actividades que permiten posicionar a la Compañía como una entidad comprometida con su entorno. A efecto de cumplir con lo anterior, se destinaron esfuerzos para comunicar iniciativas de Responsabilidad Social Corporativa mediante la convocatoria permanente a conferencias de prensa para lanzamientos, promociones y novedades. Prioridad 4. Sobre la prioridad relacionada a “Innovación” se promovió a BAC|CREDOMATIC como una entidad que se anticipa a la competencia y se promovió el uso de nuevos productos mediante servicios móviles y aplicaciones como: - Promo Zone: plataforma virtual que permite a nuestros comercios afiliados actualizar promociones en línea disponibles para nuestros clientes. - Recarga Cel: servicio que permite realizar recargas de celulares mediante envío de mensajito y se descuenta al saldo del tarjetahabiente. Resultados de las evaluaciones efectuadas a la gestión del Riesgo de Reputación A la fecha de la emisión del presente informe aún no se ha emitido el informe definitivo de Auditoría Interna sobre la gestión de Riesgo Legal. Proyectos asociados a la gestión de Riesgo de Reputación Para el año 2015 en cuanto a la gestión de riesgo de reputación se tiene proyectado mantener el seguimiento a las Actividades del Plan de gestión del riesgo de reputación. | 23 | 8. RIESGO LEGAL La gestión de Riesgo Legal constituye un componente asociado a la gestión integral de riesgos cuya valoración depende de las condiciones del marco regulatorio vigente y de los cambios en la normativa por parte de las autoridades competentes. Por tal razón podemos clasificar el Riesgo Legal en dos categorías: (i) Riesgo Legal por vía directa: posibilidad de pérdidas debido al incumplimiento de la legislación que regula los servicios y contratos financieros o la imposibilidad de exigir el cumplimiento de los contratos por la vía legal; y Riesgo Legal por vía indirecta: riesgo de cambio del marco regulatorio por parte de las autoridades gubernamentales competentes (a nivel local, nacional o internacional) en forma que afecte adversamente la posición de la entidad financiera. (ii) A partir de lo anterior, el Riesgo Legal incluye la exigibilidad legal, la legalidad de los instrumentos financieros y la exposición a cambios no anticipados en leyes y regulaciones. Básicamente, incluye los efectos jurídicos derivados del fraude, las malas prácticas que generan un impacto a terceros y los desafíos resultantes de nuevas exigencias legales. En particular, nuestra regulación sobre la materia define que las entidades deberán establecer políticas y controles específicos, previo a la celebración de contratos, actos jurídicos u operaciones que realizan, se analice la validez jurídica y se procure la adecuada verificación legal (Art. 15 de las “Normas para la gestión del riesgo operacional de las entidades financieras”). A partir de lo anterior, durante el año 2014 se ha realizado un esfuerzo por ajustar los procesos a la entrada en vigencia de nuevos cuerpos normativos como la Ley de Impuesto a las Operaciones Financieras (LIOF) e implementar los cambios derivados de las reformas a la legislación en materia Anti lavado de dinero a nivel local, así como la aplicación de la normativa conocida como “Ley de Cumplimiento Tributario de Cuentas Extranjeras” o FATCA por sus siglas en inglés (Foreign Account Tax Compliance Act), de carácter vinculante para las entidades financieras a nivel mundial. Políticas actualizadas para la gestión del Riesgo Legal De conformidad a lo establecido por acuerdo de Junta Directiva, los cuatro pilares de la gestión del Riesgo Legal son los siguientes: I Cumplimiento regulatorio (monitoreo de normas vigentes y futuras) II Gestión del Riesgo Transaccional Riesgo Legal III IV Manejo adecuado de litigios Manejo de aspectos corporativos existentes y potenciales (Gobierno Corporativo, Control de poderes, Propiedad intelectual) Entre las políticas asociadas a la gestión de Riesgo Legal que se encuentran publicadas en el sistema interno de calidad de la organización se incluyen: I. Cumplimiento regulatorio - Inventario regulatorio y matriz de CTC´s (CTC=Critical to compliance: requerimientos legales de alto riesgo). - Manejo de comunicaciones con entes reguladores y supervisores. | 24 | II. Manual de Manejo de expedientes (Requisitos de apertura de productos) Gestión del riesgo transaccional - Lineamiento de Apertura de Cuentas de ahorro y corriente. - Lineamiento para la Apertura de Certificado de depósito a plazo. - Lineamiento para la recepción de cheques del exterior. - Lineamiento para el otorgamiento de créditos de consumo. - Manual para el otorgamiento de tarjetas de crédito. - Lineamiento para solicitud, creación y liquidación de préstamos con el exterior III. Manejo adecuado de litigios existentes y potenciales - Procedimiento para atender riesgos asociados a litigios, juicios, condiciones contractuales y otros aspectos legales. - Procedimiento para monitorear el cumplimiento de tiempos y alcances de las actividades realizadas. - Manual para la entrega de documentos legales para iniciar juicios. - Manual sobre embargo de bienes. - Manual para el traslado de vehículos que quedan en calidad de depósito judicial. - Manual para adjudicaciones en pago. IV. Manejo de aspectos corporativos - Código de Gobierno Corporativo. - Aprobación de proyectos de productos bancarios y crediticios. - Lineamiento de obligaciones y responsabilidades de los accionistas de las sociedades del Conglomerado financiero BAC-Credomatic. - Procedimiento para cumplimiento de requerimientos de derechos de autor, privacidad y comercio electrónico. Descripción de las metodologías, sistemas y herramientas desarrolladas para la gestión de Riesgo Legal El proceso de gestión del Riesgo Legal incluye las siguientes metodologías, sistemas y herramientas: - Repositorio consolidado para documentos legales: constituye una unidad de red con acceso restringido donde se resguarda información electrónica de documentos mercantiles, actas de comités de Gobierno Corporativo e información general relacionada con las sociedades y los accionistas del grupo financiero a nivel local. - Sistema de Información de Cumplimiento: Constituye una plataforma para el envío de consultas por parte de las áreas de negocio y otras áreas de control que permite emitir opinión sobre consultas relacionadas con lanzamientos de promociones, nuevos productos o servicios, modificaciones a contratos, y consultas sobre requisitos de apertura de cuentas previo a la celebración de los contratos de apertura de productos bancarios, entre otros. - Módulo de Control de comunicaciones con entes reguladores y supervisores: constituye una herramienta que consolida las solicitudes y requerimientos recibidos en la entidad por parte de los reguladores y supervisores y permite su distribución mediante notificación electrónica a los correos de las áreas encargadas de su gestión para su oportuna respuesta. - Informes periódicos sobre Sesiones de comités de Gobierno Corporativo: se realiza una revisión trimestral a la información de las sesiones de Comités de Gobierno corporativo con la finalidad de identificar puntos de mejora en relación a aspectos como: envío de convocatorias, cumplimiento de la periodicidad, asistencia de los miembros, claridad en la redacción de las actas y cumplimiento de funciones, entre otros. - Actualización de información de Gobierno Corporativo en sitio web: en cumplimiento a lo establecido en el Art. 23 de las NPB 4-48, se realiza un monitoreo periódico de la información que se debe incorporar al sitio web en el apartado de Gobierno Corporativo, para mantener un registro actualizado de la misma y/o notificar a las áreas encargadas para gestionar su actualización. Resultados de las evaluaciones efectuadas a la gestión del Riesgo Legal A la fecha de la emisión del presente informe aún no se ha emitido el informe definitivo de Auditoría Interna sobre la gestión de Riesgo Legal. | 25 | Proyectos asociados a la gestión de Riesgo Legal Los proyectos para la gestión de Riesgo Legal en el período 2015 consisten en mantener el monitoreo de los nuevos productos y servicios de la entidad mediante el Sistema de Información de Cumplimiento, dar seguimiento a la efectiva respuesta de Oficios y requerimientos de información por parte de las autoridades competentes y los entes reguladores y a la gestión de Gobierno Corporativo de las diferentes entidades del grupo financiero. 9. CONTINUIDAD DEL NEGOCIO Gestión de Continuidad de Negocios. Los planes de Continuidad de Negocios están documentados y disponibles para el personal correspondiente en el Manual Operativo Local “Plan de Continuidad del Negocio GFBC”, donde se establece para cada servicio crítico, según el alcance de Continuidad de Negocios aprobado, la siguiente estructura de control: • Identificación de eventos de riesgos. • Control de registros y documentación. • Control de cambios y versiones. • Vigencia y aprobación a través del Comité de Riesgo Operacional. Plan de Capacitación Continua. Se implementó un plan de capacitación continua para los colaboradores del GFBC, la cual se desarrolla en las siguientes fases: • Inducción a nuevos colaboradores. Participación en el programa de inducción con el tema CN. • Campaña de Comunicación Continua. Envío trimestral de boletín informativo. 9.1. POLÍTICAS ACTUALIZADAS PARA LA GESTIÓN DE CONTINUIDAD DEL NEGOCIO La Política de Continuidad de Negocios fue aprobada en Comité de Riesgo Operativo y presentada a Junta Directiva en sesión JD 18-2012 celebrada en Agosto de 2012, durante 2013 y 2014 no se realizaron cambios a la misma. A continuación se anexa su estructura: Propósito Objetivos Alcances 1. Responsabilidades 1.1 Junta Directiva 1.2 Alta Gerencia 1.3 Departamento de Continuidad de Negocio 1.4 Jefes y Gerentes de las Unidades Funcionales 1.5 Comité de Riesgo Operativo 1.6 Departamento de Riesgo Operacionales 1.7 Comité de Administración Integral de Riesgos 1.8 Empleados/Colaboradores 2. Plan Continuidad de Negocios en casos de crisis 2.1 Comité de Manejo de Crisis (CMC) 2.2 Definición del Líder del Comité de Manejo de Crisis 2.3 Manejo de la Comunicación durante una Crisis 2.4 Ejecución de Decisiones para Manejo de Crisis 2.5 Equipo de Manejo de Incidentes (EMI) 2.6 Equipo de respuesta operativa (ERO) 2.7 Centro de Comando CMC 3. Administración De La Continuidad Del Negocio 3.1 Plan de Continuidad del Negocio BCP | 26 | 3.2 Plan de Manejo de Incidentes de CN 3.3 Plan de Restauración 4. Plan De Pruebas Operativas CN 4.1 Tipos de Pruebas 5. Mantenimiento de la Gestión De Continuidad De Negocios Adicionalmente se cuenta con una Política de Continuidad de Negocios que aplica regionalmente a todos los miembros de BAC Credomatic Network y que actualmente está en proceso de aprobación por la Junta Directiva local a fin de unificar los lineamientos y responder de forma unificada a la visión del Grupo, sin perjuicio de los requerimientos locales de nuestra Legislación. Alcance de Continuidad de Negocios La gestión de Continuidad de Negocios es aplicable a todas las empresas del conglomerado IFBAC: Banco de América Central, Credomatic de El Salvador, Inversiones Bursátiles Credomatic, S.A. de C.V., BAC Leasing, S.A. de C.V. El establecimiento de servicios críticos, fue revisado y actualizado en Comité de Riesgo Operativo del mes de Agosto 2013 y ratificado por Junta Directiva Agosto 2013.-se establecen como servicios críticos los siguientes: • Banco de América Central: Retiros/Depósitos/ Recepción de pagos, Transferencias Internacionales, Pago de Planillas y Proveedores, Cobranza Telefónica, Desembolsos de Créditos, Compensación de Cheques y Cierre Bancario diario. • Credomatic de El Salvador: Autorizador, Pago a Comercios afiliados y Remesas Credomatic. • Inversiones Bursátiles Credomatic: Depósitos y Retiros (los cuales son atendidos con la plataforma de Agencias) En 2014, el alcance de Continuidad de Negocios no sufrió ninguna modificación. Planes de Continuidad de Negocios. En concordancia con el alcance definido, se tienen publicados planes de continuidad de negocios para las diferentes áreas críticas, las cuales han sido revisadas y validadas por los gerentes de área responsables de dichas unidades, se adjunta el detalle de la revisión vigente: Gerencia dueña del proceso Afiliaciones y Operaciones Canales y Operaciones Servicio Crítico Versión Actual versión vigente BCP Autorizaciones -Canal POS 2 30/04/2014 BCP Pago a Comercios Afiliados 6 30/04/2014 BCP Ventanilla y back office 6 30/06/2014 BCP Pagos de préstamos BAC 3 30/04/2014 BCP Pago de Planillas y Proveedores 3 28/04/2014 BCP Servicio Remesas Credomatic 2 28/04/2014 BCP Transferencias Internacionales 2 30/04/2014 Plan continuidad del negocio, para el Proceso critico compensación de cheques 2 | 27 | 01/08/2014 BCP Canal Critico ATM 2 28/04/2014 BCP Canal Crítico Sucursal Electrónica 3 28/04/2014 Banca de Personas Plan de Continuidad de Negocios Desembolsos Banca de Personas 2 Banca Empresas BCP Desembolsos Banca Corporativa 4 01/07/2014 Créditos y Cobros BCP Cobranza Telefónica COM 3 25/06/2014 Recuperación Administrativa BCP Cobranza Telefónica BAC 6 28/06/2014 IBC Plan de Continuidad del Negocio-Depósitos y Retiros IBC 3 Servicio al Cliente BCP Canal crítico IVR 5 12/03/2014 BCP- Canal Critico: Call Center 5 12/03/2014 04/07/2012 22/08/2014 Visibilidad de la Gestión de Continuidad de Negocios Como parte del compromiso de la Alta Gerencia se designa como responsable de la política de CN y puesta en práctica de la Gestión de Continuidad de Negocios al Jefe de Continuidad de Negocios. Asimismo, se confirman los foros para la presentación de resultados de dicha gestión, según periodicidad establecida en el Código de Gobierno Corporativo: • • Administración Superior: Continuidad del Negocio participa en los Comités de Riesgo Operativo, Junta Directiva: Continuidad del Negocio se presenta a través del Gerente Integral de Riesgos y Cumplimiento. La ejecución de la Gestión se hará en tres áreas, las cuales se acordaron en el Comité de Riesgo Operativo celebrado en marzo de 2014 y aprobado en Junta Directiva del mes de Junio 2014, según detalle: • • • 9.2. Gestión de Continuidad de Negocios GNC: Rocío de Menjívar, Jefe de CN Plan de Emergencias: Álvaro Flamenco, Gerente de Recursos Humanos Continuidad de Tecnología: Marco Gamero, Gerente de Sistemas. DESCRIPCIÓN DE LAS METODOLOGÍAS, SISTEMAS Y HERRAMIENTAS UTILIZADAS BAC|CREDOMATIC El Salvador trabaja la Gestión de Continuidad de Negocios según las mejores prácticas basadas en el estándar del BSI 25999 y el estándar internacional ISO 22301:2012, "Societal security -- Business continuity management systems --- Requirements", (Currently in development). Este último en proceso de implementación. Se presenta a continuación el esquema que dicho estándar recomienda: | 28 | 9.3. RESULTADO DE LA EVALUACIÓN EFECTUADA A LA GESTIÓN DE CONTINUIDAD DEL NEGOCIO Al cierre del año 2014, la Gestión de Continuidad de Negocios, de acuerdo a evaluación realizada por la Gerencia Regional de Excelencia Operativa de BAC| CREDOMATIC Network. Se anexan resultados correspondientes al ejercicio 2014, siendo el puntaje obtenido: 100% Detalle a continuación: Avance proyectad o 01/04/2013 31/12/2014 99% Nombre de tarea ID Inicio Final Avance Real Estado Nota 100% 100% 03/02/2014 29/12/2014 100% 100% 100% 03/02/2014 29/12/2014 100% 100% 100% Partes interesadas 05/02/2014 06/08/2014 100% 100% 100% 17 Registro de definiciones 09/06/2014 11/11/2014 100% 100% 100% 03/07/2014 11/11/2014 100% 100% 21 Estructura de liderazgo para el SGCN 26 Roles, responsabilidades y autoridades del SGCN 10/07/2014 11/11/2014 100% 100% 100% 34 BIA 03/02/2014 27/11/2014 100% 98% 98% 52 RIA 03/02/2014 29/12/2014 100% 99% 99% 68 Objetivo y alcance del SGCN 26/06/2014 21/11/2014 100% 100% 100% 73 04/06/2014 23/12/2014 100% 100% Estructura manejo de incidentes de continuidad (análisis de recursos-concientización-comunicación-control de documentos) 23/07/2014 24/11/2014 100% 100% Política de CN Reg en conformidad con ISO22301 100% 1 2 3 Implementación ISO22301 Plan Metodología alineada a ISO22301 4 96 101 100% 27/01/2014 31/12/2014 DO 98% 100% 100% 100% 100% 102 Establecer procedimientos de Continuidad en conformidad con ISO22301 21/11/2014 31/12/2014 95% 100% 111 Pruebas y ejercicios 27/01/2014 15/12/2014 100% 100% 100% 03/11/2014 08/12/2014 100% 100% 100% 03/11/2014 100% 100% 100% 119 120 9.4. Check Evaluación del desempeño 08/12/2014 PROYECTOS ASOCIADOS A LA GESTIÓN DE CONTINUIDAD DEL NEGOCIO A DESARROLLAR EN 2015 En coherencia con el plan de trabajo regional, la Gestión de Continuidad de Negocios continuará su alineamiento a los requerimientos de la 22301:2012 Seguridad de la sociedad – Sistemas de gestión de la CN. Estos esfuerzos han sido plasmados en el plan 2015, considerando los siguientes indicadores de medición. 1. 2. 3. 4. 5. 6. Análisis BIA Gestión de Incidentes Prueba de recorrido Concientización y Capacitación Programa de Pruebas Análisis GAP en Gestión de Continuidad de Negocio | 29 | | 30 |