informe gestion integral de riesgos 2016 - bac credomatic€¦ · estructura organizativa de la...

INFORME DE GESTIÓN INTEGRAL DE RIESGOS BANCO DE AMÉRICA CENTRAL, S.A.

AÑO 2016

| 1 |

Tabla de contenido

I. ESTRUCTURA ORGANIZATIVA PARA LA GESTIÓN INTEGRAL DE RIESGOS ................................... 2

II. DETALLE DE LOS PRINCIPALES RIESGOS ASUMIDOS POR LAS ACTIVIDADES DE LA ENTIDAD ...... 2

1. RIESGO DE CRÉDITO ................................................................................................................. 3

2. RIESGO DE MERCADO ............................................................................................................... 4

3. RIESGO DE LIQUIDEZ ................................................................................................................. 5

4. RIESGO OPERACIONAL .............................................................................................................. 7

5. RIESGO TECNOLÓGICO ........................................................................................................... 10

6. RIESGO DE LAVADO DE ACTIVOS Y FINANCIACIÓN DEL TERRORISMO ..................................... 12

7. RIESGO REPUTACIONAL .......................................................................................................... 14

8. RIESGO LEGAL......................................................................................................................... 16

9. CONTINUIDAD DEL NEGOCIO .................................................................................................. 18

| 2 |

BANCO DE AMÉRICA CENTRAL, S.A. Miembro BAC | CREDOMATIC NETWORK

INFORME DE LA EVALUACIÓN TÉCNICA DE LA GESTIÓN INTEGRAL DE RIESGOS

AÑO 2016

I. ESTRUCTURA ORGANIZATIVA PARA LA GESTIÓN INTEGRAL DE RIESGOS

Estructura organizativa de la Gerencia de Gestión Integral de Riesgos y Cumplimiento

II. DETALLE DE LOS PRINCIPALES RIESGOS ASUMIDOS POR LAS ACTIVIDADES DE LA ENTIDAD

• RIESGO DE CRÉDITO

• RIESGO DE MERCADO

• RIESGO DE LIQUIDEZ

• RIESGO OPERACIONAL

• RIESGO TECNOLÓGICO

• RIESGO DE LAVADO DE ACTIVOS Y FINANCIACIÓN DEL TERRORISMO

• RIESGO REPUTACIONAL

• RIESGO LEGAL

• RIESGO DE CONTINUIDAD DEL NEGOCIO

| 3 |

1. RIESGO DE CRÉDITO

El Riesgo de Crédito se define como el riesgo derivado de la incertidumbre de la capacidad del deudor frente a sus

obligaciones contractuales. Este surge cuando los flujos de caja comprometidos por préstamos y valores pueden no ser

pagados oportuna o totalmente según lo estipulado en el contrato, resultando así una perdida financiera para el banco.

El Departamento de Riesgos Financieros, mediante la Gestión de Riesgo de Crédito, se encarga del proceso de identificación,

medición, monitoreo, control y divulgación del Control de Riesgo de Crédito, en el conjunto de objetivos, políticas,

procedimientos y acciones establecidas por el banco para este propósito.

1.1. POLÍTICAS ACTUALIZADAS PARA LA GESTIÓN DE RIESGO DE CRÉDITO. La Política de la Gestión de Riesgo de Crédito y Concentración fue aprobada por la Junta Directiva, y consta en Acta JD-

18/2012, celebrada el 12 de septiembre de 2012, tal como lo establece la NPB4-49 en el Artículo 4. La Junta Directiva, dando

cumplimiento al Artículo 7 literal d) de NPB4-47, aprobó dicha política, quedando en vigencia por tiempo indefinido. Se

realizaron ratificaciones a la políticas, las cuales fueron a probadas por el Comité de Gestión Integral de Riesgos CAIR

celebrado el 13 de mayo 2016.

El departamento de riesgos financieros tiene un manual de Riesgos Financieros donde se establecen los indicadores de concentración de cartera, asunción de riesgos, top de deudores y otros indicadores que engloba y documenta los procesos que se realizan para el cumplimiento del ciclo de gestión. Una de las herramientas utilizadas para la evaluación de Riesgo de Crédito es la “Simulación de Escenarios de Estrés”, que se

lleva a cabo al menos cada seis meses, realizando una simulación de escenarios adversos en la Carteras Corporativas y

Carteras de Personas, incluida la tarjeta de crédito, dichas simulaciones son realizadas por la Dirección Regional. Asimismo, el

Departamento de Riesgos Financieros realiza las pruebas para la cartera hipotecaria de manera semestral. Los resultados son

expuestos a la Alta administración y las Unidades de negocio para que tomen en consideración tales resultados en sus

decisiones comerciales. Además, dicho análisis permite obtener una variedad de escenarios que faciliten al Banco desarrollar

y ajustar sus propuestas de negocio y establecimiento de políticas.

1.2. DESCRIPCIÓN DE LAS METODOLOGÍAS, SISTEMAS Y HERRAMIENTAS UTILIZADAS. El proceso de otorgamiento de crédito se divide en dos áreas, una es el proceso para créditos de banca de persona y la otra es

créditos de empresas.

En banca de personas el proceso se desarrolla en una herramienta automática llamada Mantiz, en el work-flow de Mantiz se

integran tres motores, el de pre-valuación, buros (interno y Superintendencia del Sistema Financiero) y oferta comercial.

El otorgamiento de créditos de empresas se define por un instrumento que es el Memorándum de Crédito (MC). Una vez

originada la relación crediticia se le da seguimiento consistente en la actualización de sus estados financieros, sesiones,

valuos y visitas que permiten a la institución asegurar el cumplimiento de las obligaciones del cliente con el banco.

Para los créditos de banca de empresas, el cálculo de la provisión se realiza por medio del análisis de los estados financieros a

partir de los cuales se obtiene el índice “IRRBAC”, que establece un puntaje de acuerdo a la información suministrada, y este

se convierte en un CRR, el cual asigna una calificación a cada empresa que puede estar entre 1 y 9. A partir de esta calificación

se realiza la provisión para cada crédito.

Otra herramienta que se utiliza es el dashboard de concentración, mensualmente se mide la evolución de la exposición por

tipo de cartera y sector económico, para esto la Junta Directiva ha aprobado niveles máximos de tolerancia y se monitorea

para poder alertar a las áreas de riesgos y de negocio cuando la institución se está acercando o se han sobrepasado los

umbrales que han sido definidos como el apetito de riesgo.

| 4 |

1.3. RESULTADO DE LA EVALUACIÓN EFECTUADA A LA GESTIÓN DE RIESGO DE CRÉDITO. Se han realizado evaluaciones por la Dirección Regional de Riesgos del Grupo para la aprobación y desarrollo de Políticas.

El área de auditoria interna realizo el informe DAISALBAC-48/2016 sobre la Evaluación NPB4-49 “Normas para la gestión del

riesgo crediticio y concentración de crédito” con fecha Diciembre 2016.

Objetivo de la auditoria:

a) Evaluar los principales controles y políticas implementadas para asegurar el cumplimiento con las “Normas para la

gestión de riesgo crediticio y concentración de crédito”.

b) Evaluar el cumplimiento con parámetros mínimos de los indicadores gerenciales y regulatorios.

c) Evaluar el cumplimiento con las mejoras prácticas de control interno y seguridad de la información.

La calificación del informe es “B” Satisfactoria, esta se asigna a aquellas áreas o procesos en los cuales Auditoria interna

detecta que los controles son apropiados para mantener un nivel razonable de seguridad, la mitigación de riesgos esta en

cumplimiento con los objetivos del negocio, sin embargo se detectaron algunos puntos de mejora, a los cuales la

administración de riesgos les está dando seguimiento.

1.4. PROYECTOS ASOCIADOS A LA GESTIÓN DE RIESGO DE CRÉDITO A DESARROLLAR EN 2017. En cumplimiento con la gestión integral de riesgos se ha programado la implementación de diferentes indicadores y

herramientas que enriquezcan el análisis del riesgo crediticio en los diferentes portafolios entre ellos estas:

• Evolución de mora

• Indicadores de prepagos y otros indicadores adiciones que sirvan para una sana gestión del riesgo crédito.

2. RIESGO DE MERCADO

El Riesgo de Mercado se define como la posibilidad que el Banco incurra en pérdidas como resultado de los cambios en los

precios de mercado de los instrumentos financieros en que mantiene exposiciones dentro o fuera del balance.

Se estableció la siguiente estructura para la Gestión de Riesgo de Mercado, la cual fue aprobada en Junta Directiva, donde el

Departamento de Riesgos Financieros controla el riesgo, informando el desempeño y desviaciones, para efectos de generar

reportes e informes que se presentan en el Comité Integral de Riesgos.

2.1. POLÍTICAS ACTUALIZADAS PARA LA GESTIÓN DE RIESGO DE MERCADO. La política de Gestión de Riesgo de Mercado fue aprobada en sesión 04/2014 celebrada el 14 de octubre de 2014, con vigencia a partir de esa fecha y fue ratificada en el Comité Integral de Riesgos en sesión 05/2016 celebrada el 13 de mayo de 2016. La institución cuenta además con una Política de Inversiones a nivel regional que establece una serie de controles y parámetros que toman en cuenta la calificación y calidad de los emisores, límites específicos de inversión y la diversificación de los portafolios del grupo. Para el monitoreo y control de la gestión de riesgo de mercado se han identificado los límites establecidos en la “Política de liquidez e inversión local ” y la “Política de Gestión de Riesgo de Mercado” la cual se utiliza para la administración de las operaciones de la tesorería del banco.

2.2. DESCRIPCIÓN DE LAS METODOLOGÍAS, SISTEMAS Y HERRAMIENTAS UTILIZADAS. El proceso de monitoreo y medición del riesgo se realiza a través del seguimiento de los procesos de ejecución y liquidación

de las negociaciones de los instrumentos de inversión, de esta manera el Middle Office en el proceso de inversiones, previo a

la autorización, se revisan las condiciones de la inversión y posterior a la negociación se verifica que la inversión se haya

| 5 |

cerrado y contabilizado de acuerdo a lo aprobado y se verifica la inclusión de la compra en el Módulo de Administración y

Control de la Cartera de Inversión.

Se verifica la aplicación de la política y se calcula el riesgo de tasa de interés en inversiones de portafolio y se realizan las

pruebas de stress. Los resultados se presentan de forma mensual en el Comité de Activos y Pasivos y en el Comité de

Administración Integral de Riesgo.

Además se utiliza el modelo de GAP de tasas para la medición de los activos y pasivos sensibles a cambios de tasas.

De los controles que se monitorean al observar una variación fuera de los límites establecidos por política se activan alertas

para las unidades y comités competentes.

Durante al año 2016 se realizó el monitoreo de las volatilidad de tasas la cual se calcula de acuerdo a 1, 2 y 3 desviaciones

estándar, con esto modelo se determina las tasas activas y pasivas mínimas y máximas de la semana del sistema y del banco,

esto se realiza con 84.1%, 97.7% y 99.9% nivel de confianza. El periodo observado para realizar las volatilidades de tasas es

de un año.

2.3. RESULTADO DE LA EVALUACIÓN EFECTUADA A LA GESTIÓN DE RIESGO DE MERCADO. Como parte del plan de trabajo, en el presente ciclo se llevaron a cabo Auditorías para verificar la capacidad de los controles

creados para el buen funcionamiento del Middle-Office en las operaciones bursátiles.

La institución se encuentra comprometida con el cumplimiento de normativas y regulaciones por lo que se cumple con la Ley Sarbenes Oxley y uno de los principales controles que se tiene en la medición del riesgo de mercado es de carácter SOX, el cual ha sido aprobado por el Líder SOX para ser elaborado dentro de la Matriz de Tesorería que otorga responsabilidades específicas a la gestión integral de riesgos. Dicho control también ha sido evaluado por auditoria interna. El área de auditoria interna realizo el informe DAISALBAC-42/2014 y seguimiento Agosto 2015 sobre la Evaluación de

“Inversiones Financieras” con fecha Agosto 2015.


a) Evaluar la gestión de riesgos y controles implementados para administrar los procesos relacionados con las

inversiones financieras.

b) Evaluar la razonabilidad de los saldos contables de las inversiones financieras.

c) Evaluar el cumplimiento con las normas emitidas por la SSF, aplicables a las inversiones.

d) Evaluar el cumplimiento con las mejores prácticas de control interno y seguridad de la información divulgada por el

grupo AVAL.





2.4. PROYECTOS ASOCIADOS A LA GESTIÓN DE RIESGO DE MERCADO A DESARROLLAR EN 2017. Para el 2017 se ha establecido dentro del plan de trabajo establecer la maduración de los activos y pasivos del balance

sujetos a tasas de interés.

3. RIESGO DE LIQUIDEZ

La institución tiene como filosofía cumplir con sus obligaciones contractuales de tal manera que los acreedores puedan tener

acceso a sus recursos en el momento establecido. Para ello se han implementado herramientas que permiten medir la

volatilidad de los depósitos, suficiencia de reservas de liquidez y adecuado manejo de los fondos líquidos, para utilizarlos de la

manera más eficiente, tomando en cuenta los cambios en el entorno que pudieran dificultar la disponibilidad inmediata de

fondos.

| 6 |

3.1 POLÍTICAS ACTUALIZADAS PARA LA GESTIÓN DE RIESGO DE LIQUIDEZ.

Durante el año 2016, dando cumplimiento al Artículo 7 literal d) de la NPB4-47 y al Artículo 5 literal b) de la NRP-05, se

aprobó la actualización del Plan de Contingencia y el Manual de Riesgos Financieros en sesión de Comité Integral de Riesgos

05/2016 celebrada el 13 de mayo de 2016. El Plan establece los roles y responsabilidades ante un evento de contingencia,

eventos que activas el plan, fuentes de fondeo interna y externas como alternativa ante una eventual crisis, procedimientos

para administrar la crisis y canales de comunicación que deben utilizarse. Este plan ha tenido pruebas en los últimos dos años,

simulando un escenario controlado que busca medir el grado de preparación de los responsables de implementar el plan y la

forma en que abordarían una crisis de opinión publica generada por una corrida de fondos.

El departamento de riesgos financieros también cuenta con un manual que define los roles y responsabilidades en la toma

del riesgo, las acciones para mitigarlo y monitorearlo. También se establece la documentación y procedimientos, así como los

controles e indicadores.

3.2 DESCRIPCIÓN DE LAS METODOLOGÍAS, SISTEMAS Y HERRAMIENTAS UTILIZADAS.

Para medir el riesgo de liquidez se construyen Indicadores como el Calce de Plazos, Cálculo de las Reservas, Activos Líquidos,

Liquidez Intrames, Modelo regional de liquidez, entre otros. En el aspecto de la medición al riesgo de liquidez en el corto,

mediano y largo plazo, se efectúan los siguientes análisis: el coeficiente de liquidez neta, cumplimiento de la reserva,

indicadores de liquidez legales, calculo y medición del riesgo de tasa de interés, evolución de los resultados de la liquidez por

plazos de vencimiento y la capacidad de respuesta en escenarios de estrés, volatilidad de depósitos, variación de depósitos,

concentración de depósitos y sectores, así como también el seguimiento de indicadores de riesgo de la casa de corredores de

bolsa del grupo, Inversiones Bursátiles Credomatic.

La identificación del riesgo de liquidez consiste en un proceso que reconoce los factores de sensibilidad, que al presentar

comportamientos adversos, retardan o aceleran el ingreso o salida de fondos, impactando la liquidez. Se debe cuantificar el

riesgo de liquidez con el objeto de determinar el cumplimiento de las políticas, límites fijados, y medir el posible impacto

económico en los resultados financieros. Para efectos de mitigar el riesgo de liquidez se establecerán controles desarrollados

por la Gerencia de Planificación y Finanzas y el Departamento de Riesgos Financieros.

Durante el año 2016 se presentaron los requerimientos de las Normas Técnicas para la Gestión del Riesgo de Liquidez NRP-

05, el cual consiste en un monitoreo mensual de la liquidez según las premisas elaboradas por la institución y especificaciones

emitidas por la SSF, el resultado de estos indicadores durante el año 2016 fue satisfactorio para la organización, tanto para el

modelo normal como el estresado.

3.3 RESULTADO DE LA EVALUACIÓN EFECTUADA A LA GESTIÓN DE RIESGO DE LIQUIDEZ.

El área de auditoria interna realizo el informe DAISALBAC-30/2016 sobre la Evaluación “Gestión del Riesgo de Liquidez” con

fecha Julio 2016.


a) Evaluar los principales controles implementados y políticas internas para asegurar el cumplimiento con las Normas

Técnicas para la Gestión del riesgo de liquidez.

b) Evaluar el cumplimiento con parámetros mínimos de los indicadores legales y gerenciales.

c) Evaluar el cumplimiento con las mejores prácticas de control interno y seguridad de la información.





| 7 |

3.4 PROYECTOS ASOCIADOS A LA GESTIÓN DE RIESGO DE LIQUIDEZ A DESARROLLAR EN 2017. Los objetivos del plan de trabajo para el 2017 son:

- Elaboración de indicadores adicionales de liquidez como el HQLA local.

- Mantener una gestión apropiada de los indicadores de riesgo de liquidez

4. RIESGO OPERACIONAL

Grupo Conglomerado IFBAC ha establecido un marco mínimo para la gestión de riesgos operativos que es obligatorio para todas las entidades y es basada en los procesos de identificación y evaluación de riesgos, indicadores de riesgo, el proceso de diseño y evaluación de controles, tratamiento de riesgos, proceso de manejo y reporte de incidentes y el proceso de reportes de gestión de riesgo (generación de información gerencial) de riesgos en un ciclo continúo.

Lo anterior en relación a las mejores prácticas definidas en las Normas para la gestión del riesgo operacional de las entidades

financieras (NPB-50) y la Norma para la gestión integral de riesgos de las entidades financieras (NPB4-47).

Las etapas de la Gestión de Riesgo Operacional se presentan a continuación:

4.1 POLITICAS ACTUALIZADAS PARA LA GESTION DE RIESGO OPERACIONAL.

En cumplimiento a lo dispuesto en el art. 6 de la “Norma de Gestión de Riesgo Operacional NPB4-50”, se cuenta con una

Política para la Gestión de Riesgo Operacional L-BAC Credomatic El Salvador – SAL-0000063, la cual tiene aplicabilidad al

conglomerado Inversiones Financieras Banco de América Central, S.A., IFBAC: Banco de América Central, S.A., Credomatic de

El Salvador, S.A. de C.V, Inversiones Bursátiles Credomatic, S.A. de C.V., BAC Leasing, S.A. de C.V.

Dicha Política Proporciona las directrices generales para la identificación, evaluación, control, monitoreo y reporte de la

gestión de riesgos operativos que pueden afectar a la organización con el objetivo de asegurar la adecuada gestión y

tratamiento de los riesgos para que estén dentro del apetito de riesgo aprobado, y poder tener entonces una seguridad

razonable con respecto al logro de los objetivos organizacionales.

Así mismo, siendo parte del Grupo Financiero BAC | Credomatic Network que opera a nivel regional, requiere que la

administración cumpla con las regulaciones locales, así como también con la alineación al Lineamiento de Riesgo Operativo

Regional, L-CORP-Gestión de Riesgos Operativos –REG-0000379.

4.2 DESCRIPCION DE METODOLOGIAS, SISTEMAS Y HERRAMIENTAS UTILIZADAS.

Para el año 2016 y con el propósito de llevar a cabo el proceso de revisión anual de dicha metodología en cumplimiento a lo

dispuesto por la “Normas para la Gestión del Riesgo Operacional de las entidades financieras (NPB4-50), en ese sentido se

expusieron los elementos de la Política y el Manual para la gestión de riesgo operacional, así como las herramientas

Identificación, Evaluación y

Monitoreo de los Riesgos

Mitigación de Riesgos y Reportes de

Incidentes

Diseño y Evaluación de Controles

Generación de Reportes

| 8 |

relacionadas a la identificación, mitigación, generación de indicadores, evaluación de ambiente, reporte de incidentes y

evaluación de las unidades funcionales.

Los principales pilares de la metodología de riesgo operacional se encuentran en:

Marco Referencial Objetivo de Gestión Instancia de

Aprobación

Política de Gestión de Riesgo Operacional

Proporciona las directrices generales, funciones y responsabilidades para la identificación, evaluación, control, monitoreo de los riesgos operativos que pueden afectar a la organización.

Junta Directiva Comité de Riesgo Operacional

Manual de Gestión de Riesgo Operacional

El presente Manual incluye el desarrollo y despliegue de la Metodología aplicada para la Gestión de Riesgo Operacional.


Formularios y/o herramientas de trabajo

Insumos proporcionados a los gestores de riesgo operacional, que permiten la obtención de la información sobre los riesgos relacionados con factores RO.


Programas de Capacitación

Consiste en el despliegue y comunicación de la gestión al personal involucrado directamente en la gestión y a toda la organización.


Reportes y Comunicación Escalar información sobre resultados del seguimiento de la gestión, así como reportar oportunamente y de forma completa las fallas en los diferentes factores de riesgo operacional.


Alcance de la Gestión de Riesgo Operacional

Al cierre del año 2016 de BAC|CREDOMATIC El Salvador contó con 108 unidades funcionales correspondientes a 22 gerencias

de áreas que son responsables directos de la ejecución, las cuales durante el año desarrollaron cada una de las etapas del

ciclo de gestión de riesgo operacional.

Perfil de Riesgo Operativo

El perfil de riesgo operativo de BAC|CREDOMATIC El Salvador al cierre del año 2016 cuenta con 2,392 riesgos identificados en

los 215 procesos que la organización ejecuta; estos resultados son producto de la evaluación y calificación por parte de los

dueños de unidad funcional acorde a la metodología establecida, y está dada en términos de vulnerabilidad y severidad de los

riesgos con relación a los controles implementados que se llevan a cabo para evitar que los riesgos se materialicen.

El perfil de riesgo operativo de BAC|CREDOMATIC El Salvador al cierre del año 2015 cuenta con 2,404 riesgos identificados en

los 180 procesos que la organización ejecuta; estos resultados son producto de la evaluación y calificación por parte de los

dueños de unidad funcional acorde a la metodología establecida, y está dada en términos de vulnerabilidad y severidad de los

riesgos con relación a los controles implementados que se llevan a cabo para evitar que los riesgos se materialicen.

| 9 |

Para este año se desarrolló un Proceso de Transición entre las matrices de Excel y la Herramienta SIXPRO bajo esquema de

Gobierno de Procesos que es la metodología a través de la cual se organiza la gestión de procesos de la organización.

160 227227 180 215

1.735 2.004 2.048

2.404 2.392

470 503 500 501 504

1.136 976

798

713 534

-

500

1.000

1.500

2.000

2.500

3.000

Año 2012 Año 2013 Año 2014 Año 2015 Año 2016

Comportamiento Histórico

Procesos Riesgos Riesgos críticos Eventos e IRO

| 10 |

4.3 RESULTADO DE LA EVALUACIÓN EFECTUADA A LA GESTIÓN DE RIESGO OPERACIONAL.

El área de auditoria interna realizó el informe DAISALBAC- 54/2016 – Evaluación de Gestión Riesgo Operativo con corte al mes de Noviembre de 2016. Objetivos de Auditoría:

a) Evaluar el cumplimiento con los principales requerimientos establecidos en la Norma NPB4-50 “Normas para la Gestión de Riesgo Operacional de las Entidades Financieras”. b) Evaluar la gestión del riesgo operacional, realizada por el Departamento de Riesgo Operativo. c) Evaluar el cumplimiento con política de vacaciones – puestos críticos y lineamiento conozca a su empleado-KYE, en lo aplicable al monitoreo de operaciones monetarias del personal. d) Verificar la migración de los controles SOX a Matrices de Riesgo Operativo (RO).

La calificación del informe es “B” Satisfactoria, esta se asigna a aquellas áreas o procesos en los cuales Auditoria Interna detecta que los controles son apropiados para mantener un nivel razonable de seguridad, la mitigación de riesgos está en cumplimiento con los objetivos del negocio, sin embargo se detectaron algunos puntos de mejora no significativos.

4.4 PROYECTOS ASOCIADOS A LA GESTIÓN DE RIESGO DE OPERATIVO A DESARROLLAR EN 2017.

Para el 2017 se tiene el compromiso de continuar trabajando en la gestión de riesgo operacional, para proporcionar a los gestores de riesgo herramientas que faciliten la gestión y permitan seguir construyendo la cultura de riesgo operativo; dentro de los principales proyectos se tiene:

� Llevar la gestión por procesos y no por unidades funcionales, bajo un enfoque de Gobierno de Procesos.

� Concientización y Capacitación. Plan de educación virtual dirigido al 100% de la Organización.

� Implementación de metodología de diseño y evaluación de controles de Matriz de Riesgos TOP.

� Despliegue de herramienta de administración de riesgo que permita contar con un flujo de administración de todas las

etapas de ciclo de gestión de riesgo operacional.

� Integración de herramienta de reporte de incidentes con el resto de gestiones asociadas dentro de la entidad.

� Transición para la migración de metodología de Riesgo Integral.

5. RIESGO TECNOLÓGICO

La Gestión de Riego Tecnológico se enfoca en los servicios de negocio constituidos por su infraestructura tecnológica, sistemas de información, bases de datos entre otros; gestionando riesgos relacionados a la interrupción, alteración, acceso no autorizado o falla de los mismos que puedan atentar contra la confidencialidad, integridad o disponibilidad de la información. Lo anterior en atención a las mejores prácticas definidas en las Normas para la gestión del riesgo operacional de las entidades

financieras (NPB4-50) y la Norma para la gestión integral de riesgos de las entidades financieras (NPB4-47).

5.1 POLÍTICAS ACTUALIZADAS PARA LA GESTIÓN DE RIESGO TECNOLÓGICO. Para asegurar una adecuada gestión del Riesgo Tecnológico dando cumplimiento a lo dispuesto en el art. 6 de la “Norma de

Gestión de Riesgo Operacional NPB4-50”, se cuenta con las siguientes políticas: L-BAC Credomatic El Salvador-Lineamiento

Política para la Gestión de Riesgo Tecnológico-SAL y L-CORP-Gestión de Riesgos Operativos –REG-0000379 las cuales tienen

aplicabilidad al conglomerado Inversiones Financieras Banco de América Central, S.A., IFBAC: Banco de América Central, S.A.,

Credomatic de El Salvador, S.A. de C.V, Inversiones Bursátiles Credomatic, S.A. de C.V., BAC Leasing, S.A. de C.V.

| 11 |

5.2 DESCRIPCIÓN DE LAS METODOLOGÍAS, SISTEMAS Y HERRAMIENTAS UTILIZADAS.

La Organización a través de la Gerencia de Gestión Integral de Riesgos y Cumplimiento ha provisto de un líder de riesgo tecnológico responsable de coordinar, dirigir y apoyar la implementación y seguimiento de la gestión de riesgos de tecnología.

Banco de América Central trabaja con una definición amplia sobre Riesgos Operativos: El riesgo de impactos negativos

resultante de infraestructura, tecnología, personas, sistemas o procesos internos inadecuados o fallidos, o producidos por

eventos externos.

En congruencia con la definición anterior, toda la documentación necesaria para el desarrollo de la gestión de Riesgo

Tecnológico está disponible en el repositorio oficial del conglomerado, según se detalla a continuación:

L-CORP-Manual de Administración Integral de Riesgos-REG-0000233 (Versión 4) L-BAC Credomatic El Salvador-Lineamiento Política para la Gestión de Riesgo Tecnológico-SAL (Versión 4) L-CORP-Gestión de Riesgos Operativos-REG-0000379 (Versión 1) SP-CORP-Gestión de Riesgo Operativo-REG-0000257 (Versión 3) Metodología Regional para la Gestión de Riesgos Operativos en BAC | Credomatic Network. (Versión 16) De forma complementaria reconocemos las siguientes herramientas para la identificación de riesgos de tecnología:

3. Entrevistas con coordinadores de procesos 4. Análisis de incidentes registrados 5. Mapeo de actividades o tareas que intervienen en los procesos analizados 6. Lluvia de ideas (criterio experto)

La gestión 2015 dio como resultado la identificación de Riesgos Operativos en los procesos de Tecnología, los cuales a manera

de resumen son presentados a continuación:

RESUMEN DE CICLO DE RIESGO OPERATIVO EN TI CORTE AL 31 DE DICIEMBRE DE 2016

UNIDADES FUNCIONALES RIESGOS

IDENTIFICADOS RIESGOS

PRINCIPALES PLANES DE

MITIGACION

OPERACIONES DE SISTEMAS 54 11 11

DESARROLLO DE SISTEMAS 52 15 11

SEGURIDAD DE SISTEMAS 43 9 3

INFRAESTRUCTURA TECNOLOGICA 59 23 18

ADMINISTRACION DE SERVICIOS DE TI 28 1 1

TOTAL 236 59 44

Nota: Algunos planes de mitigación cubren más de un riesgo principal. Adicionalmente se realizó análisis en base a los componentes tecnológicos que intervienen en servicios críticos a fin de identificar riesgos para respectivo tratamiento; según detalle:

RESUMEN DE CICLO DE RIESGO TECNOLÓGICO DE LOS SERVICIOS CRÍTICOS CORTE AL 31 DE DICIEMBRE DE 2016

SERVICIOS CRÍTICOS RIESGOS

IDENTIFICADOS RIESGOS PRINCIPALES

PLANES DE MITIGACION

Pago a Comercio Afiliados 122 16 16

| 12 |

Depósitos Bancarios 106 14 14

Retiros Bancarios 106 14 14

Pago Planillas y Proveedores 112 13 13

Pago de Tarjetas 152 10 10

Pago de Prestamos 137 8 8

TOTAL 735 75 75

5.3 PROYECTOS ASOCIADOS A LA GESTIÓN DE RIESGO TECNOLÓGICO A DESARROLLAR EN 2017.

A partir de 2016 se inició el proceso de transición hacía la metodología de gestión de riesgos de tecnología con base en el

marco de referencia CobIT, trabajo que espera ser concluido en 2017.

5.4 RESULTADOS DE LAS EVALUACIONES EFECTUADAS A LA GESTIÓN DEL RIESGO

TECNOLÓGICO.

El área de auditoria interna realizó el informe DAISALBAC- 37/2016 – NPB4-50 Gestión del Riesgo Operacional de TI, dirigido a la Gerencia de Sistemas y Gerencia Integral de Riesgos y Cumplimiento, proyecto de fecha 23 de agosto. Dicha evaluación fue realizada desde el punto de vista Informático, en la cual se detalló oportunidad de mejora trabajada de acuerdo al Sistema de Gestión Organizacional con petición de acción correctiva PAC No. AI.0000571DBSB y que fue superada con fecha diciembre de 2016. Objetivos de Auditoría:

• Verificar el cumplimiento de la NPB4-50 en los artículos relacionados con Tecnología de la Información.

• Evaluar la gestión de riesgos operativos de TI y riesgos tecnológicos. Conclusión de auditoría: “B” satisfactoria.

6. RIESGO DE LAVADO DE ACTIVOS Y FINANCIACIÓN DEL TERRORISMO

BAC Credomatic mantiene su compromiso de administrar el riesgo de lavado de activos y financiamiento del terrorismo, a fin de prevenir, detectar y controlar la utilización de nuestros productos y servicios para el movimiento de fondos provenientes de actividades ilícitas. Como institución financiera, BAC|Credomatic debe gestionar los riesgos inherentes a la naturaleza de sus operaciones, servicios y productos. Entre los riesgos más críticos se presentan el Lavado de Activos y el Financiamiento al Terrorismo. Para combatirlos, el grupo debe de adoptar las tecnologías, metodologías y buenas prácticas recomendadas y/o exigidas por la regulación nacional e internacional.

6.1 POLÍTICAS ACTUALIZADAS PARA LA GESTIÓN DE RIESGO LAFT.

Para gestionar el riesgo LAFT se actualizó el Manual SARLAFT de BAC Credomatic. Para dar aplicación a la Norma NRP-12 “Normas Técnicas para el Registro, Obligaciones y Funcionamiento de Entidades que Realizan Operaciones de Envío o Recepción de Dinero” se efectuaron los informes solicitados a la Superintendencia del Sistema Financiero, se creó Manual aplicable a Remesas Familiares como parte del Manual SARLAFT Con el fin de lograr un buen entendimiento de las políticas y lineamientos relacionados con temas de prevención del lavado de dinero y financiamiento al terrorismo el plan de capacitación comprendió labores de concientización y divulgación al personal mediante capacitaciones presenciales al personal de nuevo ingreso, capacitaciones especiales para enseñar la funcionalidad de las herramientas existentes de prevención y control, capacitaciones a Campeones de Cumplimiento, Comité de Expertos, Capacitación a Junta Directiva, grupo

| 13 |

gerencial y áreas de negocio, y al personal de Oficina Cumplimiento, también se efectúa capacitaciones en línea dirigidas a toda la organización. Igualmente con el fin de acercar a nuestros clientes, autoridades competentes y organismos internacionales en relación a la Ley contra el Lavado de Dinero y de Activos se efectuó el Primer Congreso SARLAFT para Clientes del Grupo GFBAC en la cual participaron Directores, Presidentes, Gerentes Generales y Oficiales de Cumplimiento.

6.2 DESCRIPCIÓN DE LAS METODOLOGÍAS, SISTEMAS Y HERRAMIENTAS DESARROLLADAS. La segmentación de factores de riesgo aporta una nueva visión de la problemática fusionando los procedimientos estadísticos y de minería de datos con la experiencia acumulada por el Grupo durante toda su trayectoria en sistema financiero local y regional. Regularmente se escucha el término Segmentación en el mundo del marketing, sin embargo la Superintendencia Financiera de Colombia, por medio del numeral 4.2.2.2.2 de su normativa, ha orientado esta técnica para convertirla en una herramienta anti lavado. La definición que adopta es la siguiente: "Es el proceso por medio del cual se lleva a cabo la separación de elementos en grupos homogéneos al interior de ellos y heterogéneos entre ellos. La separación se fundamenta en el reconocimiento de diferencias significativas en sus características (variables de segmentación)".

Cabe entonces preguntarse, ¿Quiénes o cuáles son los individuos que forman los grupos resultantes de dicho proceso? La respuesta es que, en cumplimiento con la NRP-08 emitida por el Banco Central de Reserva, la segmentación se aplica a cuatro dimensiones o factores de riesgo: Jurisdicción, Canales, Productos y Clientes. Las agrupaciones formadas por el proceso de segmentación surgen de un análisis exploratorio de las variables utilizadas para describir a los grupos. BAC | Credomatic comenzó el proceso de Segmentación bajo el esquema CRISP-DM, una metodología de minería de datos compuesta de 6 etapas iterativas que permiten explotar la información almacenada en nuestras bases de datos.

En cuanto al fortalecimiento del Sistema de Administración de Riesgo de Lavado de Dinero y Financiamiento al Terrorismo, se actualizó nuestra Matriz de Riesgos y se realizaron visitas a las áreas de riesgo identificadas, para evaluar la efectividad de los controles y procedimientos relacionados al SARLAFT. En la primera ronda de visitas didácticas se efectuó capacitación sobre controles y procedimientos y en la segunda ronda de visitas didácticas se ejecutó prueba de controles. También se efectuó visita a Sub Agentes de Pago de Remesas Familiares para evaluar la aplicación y efectividad de los controles y procedimientos relacionados al pago de remesas familiares. En el seguimiento a las respuestas de entes reguladores, se crearon nuevas herramientas tecnológicas de consulta y obtención de datos, asimismo se creó la Unidad de Comunicaciones y Gestión SARLAFT que se encuentra dentro del organigrama de Oficina de Cumplimiento, que orienta sus recursos a la creciente demanda de requerimientos recibidos de entes reguladores a fin de proveer en tiempo la información solicitada por el ente fiscalizador.

6.3 RESULTADOS DE LAS EVALUACIONES EFECTUADAS A LA GESTIÓN DEL RIESGO LAFT.

El área de auditoría interna realizó el informe DAISALBAC- 59/2016 – Evaluación de Gestión Riesgo LAFT con corte al mes de Diciembre de 2016. Objetivos de Auditoría:

a) Evaluar la Gestión de Riesgo de lavado de dinero y el financiamiento del Terrorismo. b) Verificar el cumplimiento con los principales requerimientos que establece la legislación aplicable a este riesgo. c) Evaluar la adecuada implementación de las políticas internas de vacaciones – puestos críticos, seguridad de la información, entre otros.

| 14 |

La calificación del informe es “B” Satisfactoria, esta se asigna a aquellas áreas o procesos en los cuales Auditoría Interna detecta que los controles son apropiados para mantener un nivel razonable de seguridad, la mitigación de riesgos está en cumplimiento con los objetivos del negocio.

6.4 PROYECTOS ASOCIADOS A LA GESTIÓN DE RIESGO LAFT. Actualmente BAC|Credomatic está trabajando en la segunda versión del proyecto de Segmentación. Se ha realizado el análisis FODA de la primera entrega con el propósito de identificar los principales puntos de mejora. Todos estos cambios afinan el proceso y brindan una nueva herramienta que permite realizar un análisis más amplio que ayude en la toma de decisiones pertinentes al combate contra el Lavado de Activos y Financiamiento al Terrorismo integrándola a los sistemas de monitoreo utilizados actualmente. El proyecto de envío de reportes regulados en la plataforma de la Unidad de Investigación Financiera: reportes de las operaciones iguales o mayores a $10,000 en efectivo, y los formularios por operaciones por cualquier otro medio igual o mayores a $25,000 en forma diaria y acumulada. El proyecto de vinculación de matriz de riesgos SARLAFT con Segmentación revisará los criterios de inusualidad existentes a fin de aumentar su efectividad, para reducir operaciones falso positivos y generar mayor valor para el monitoreo transaccional, ligando siempre las metodologías con el enfoque de riesgo LA/FT.

7. RIESGO REPUTACIONAL

La reputación vista como un conjunto de percepciones y expectativas de los grupos de interés (externos e internos) que para

la gestión del riesgo Reputacional de BAC|Credomatic se catalogan en: Clientes, entes reguladores, empleados, proveedores

e intermediarios, accionistas, comunidad/sociedad) es el resultado del comportamiento desarrollado por la empresa a lo

largo del tiempo. Es por ello que dentro de la gestión integral de riesgos, se incluye el Riesgo Reputacional definido como la

posibilidad de pérdidas económicas o no económicas que afectan el prestigio de la entidad derivados de eventos adversos

que trascienden a terceros, en ese sentido la Gestión del riesgo reputacional efectuado en la empresa es el enfoque

estructurado para evitar la ocurrencia o mitigar las consecuencias de estos eventos.

7.1 POLÍTICAS ACTUALIZADAS PARA LA GESTIÓN DE RIESGO REPUTACIONAL

Existen diversas políticas asociadas a la gestión de Riesgo de reputación las cuales han sido aprobadas por la Junta Directiva y

ahora también podrán ser aprobadas por el Comité de la Administración Integral de Riesgos en virtud a lo dispuesto en el

artículo 14 de las N-PB4-48 Normas de Gobierno Corporativo para las Entidades Financieras y las Normas para la Gestión

Integral de Riesgos de las Entidades Financieras NPB4-47, en el artículo 9 literal b.

Entre las políticas establecidas durante el año 2015 se incluyen:

- Lineamiento manejo de la comunicación con medios

- Revisión de promociones, nuevos productos y servicios (Aprobación de proyectos de productos bancarios y

crediticios).

- Lineamiento corporativo de atención al cliente

- Lineamiento para compartir mejores prácticas

- Manual del Sistema de Gestión Ambiental

- Lineamiento de comunicación interna y externa ambientales

- Política para la desvinculación de clientes BAC Credomatic

| 15 |

7.2 DESCRIPCIÓN DE LAS METODOLOGÍAS, SISTEMAS Y HERRAMIENTAS DESARROLLADAS

7.3 PROYECTOS ASOCIADOS A LA GESTIÓN DE RIESGO DE REPUTACIÓN

Para el año 2017 en cuanto a la gestión de riesgo de reputación se mantienen los dos ejes principales, una perspectiva

regional y una perspectiva local.

Se realizó la identificación de 14 macro riesgos reputacionales de los cuales se extrajeron los más importantes para dar inicio

al proyecto, por lo que se comenzó con la creación de planes de prevención, contención y mitigación para cada uno de los

macro riesgos identificados. Lo que se prevé para el año 2017 es realizar la valoración de los modos de fallo obtenidos de la

Prioridad 1. En cuanto a la “Orientación al cliente” se aseguró el cumplimiento de los siguientes objetivos:

1. Se cuenta con una estructura de apoyo en temas de servicio y transparencia a través de la Gerencia de Servicio al

Cliente.

2. Existe una estructura de apoyo (facilitadores internos-para el desarrollo de cierre de brechas en el modelo de

gestiones) a través de la Gerencia de Servicio al Cliente.

3. La existencia de un proceso para dar seguimiento a las denuncias interpuestas por los clientes ante los

reguladores, a través del área de Servicio al Cliente y Transparencia.

4. La existencia de un proceso para la atención de reclamos y redes sociales en aras de asegurar la protección al

consumidor.

5. Revelación de resultados de Imagen Reputacional ante los Reguladores, a través de la Gerencia de Servicio al

Cliente.

Asimismo, se realizaron algunas tareas orientadas a promover la agilidad en los trámites de la institución mediante el uso

de servicios electrónicos y reducir el tiempo de espera en agencias.

Prioridad 2. Sobre el tema de “Ciudadanía”, el trabajo se destinó a visibilizar a BAC|CREDOMATIC como una entidad que invierte en

causas sociales y fomenta la educación financiera.

En el primer punto, se llevó a cabo una gestión de comunicación del Programa Dona Tu Vuelto a través de redes sociales y

medios tradicionales. Dicho programa consiste en una suscripción que permite a los tarjetahabientes destinar el

remanente de sus compras ajustadas al próximo dólar a una fundación previamente seleccionada de acuerdo a las

opciones ofrecidas por BAC|CREDOMATIC. En cuanto al fomento de la Educación Financiera, se llevaron a cabo las

siguientes actividades:

1. Consejos Financieros en Redes Sociales

2. Promover el ingreso al sitio web www.mipresupuestovirtual.com, como una plataforma disponible para organizar

las finanzas de nuestros colaboradores.

3. Promoción de la nueva página de educación financiera.

Prioridad 3. La “Solidez” no sólo significa un elemento integrador de la estrategia de gestión del riesgo de reputación, sino la

importancia de divulgar las actividades que permiten posicionar a la Compañía como una entidad comprometida con su

entorno. A efecto de cumplir con lo anterior, se destinaron esfuerzos para comunicar iniciativas de Responsabilidad Social

Corporativa mediante la convocatoria permanente a conferencias de prensa para lanzamientos, promociones y novedades.

Prioridad 4. Sobre la prioridad relacionada a “Innovación” se promovió a BAC|CREDOMATIC como una entidad que se anticipa a la

competencia y se promovió el uso de nuevos productos mediante servicios móviles y aplicaciones como:

- Promo Zone: plataforma virtual que permite a nuestros comercios afiliados actualizar promociones en línea disponibles para nuestros clientes.

- Recarga Cel: servicio que permite realizar recargas de celulares mediante envío de mensajito y se descuenta al

saldo del tarjetahabiente.

| 16 |

identificación de los riesgos anteriores, además del reporte de incidentes de posibles riegos reputacionales, lo cual se ha

realizado mensualmente desde mediados del año 2016.

8. RIESGO LEGAL

La gestión de Riesgo Legal constituye un componente asociado a la gestión integral de riesgos cuya valoración depende de las

condiciones del marco regulatorio vigente y de los cambios en la normativa por parte de las autoridades competentes. Por tal

razón podemos clasificar el Riesgo Legal en dos categorías:

(i) Riesgo Legal por vía directa: posibilidad de pérdidas debido al incumplimiento de la legislación que regula los

servicios y contratos financieros o la imposibilidad de exigir el cumplimiento de los contratos por la vía legal; y

(ii) Riesgo Legal por vía indirecta: riesgo de cambio del marco regulatorio por parte de las autoridades

gubernamentales competentes (a nivel local, nacional o internacional) en forma que afecte adversamente la

posición de la entidad financiera.

8.1 POLÍTICAS ACTUALIZADAS PARA LA GESTIÓN DEL RIESGO LEGAL

De conformidad a lo establecido por acuerdo de Junta Directiva, los cuatro pilares de la gestión del Riesgo Legal son los

siguientes:

• Cumplimiento regulatorio (monitoreo de normas vigentes y futuras)

• Gestión del Riesgo Transaccional

• Manejo adecuado de litigios existentes y potenciales

• Manejo de aspectos corporativos (Gobierno Corporativo, Control de poderes, Propiedad intelectual)

Entre las políticas asociadas a la gestión de Riesgo Legal que se encuentran publicadas en el sistema interno de calidad de la

organización se incluyen:

I. Cumplimiento regulatorio

- Inventario regulatorio y matriz de CTC´s (CTC=Critical to compliance: requerimientos legales de alto riesgo).

- Manejo de comunicaciones con entes reguladores y supervisores.

- Manual de Manejo de expedientes (Requisitos de apertura de productos)

II. Gestión del riesgo transaccional

- Lineamiento de Apertura de Cuentas de ahorro y corriente.

- Lineamiento para la Apertura de Certificado de depósito a plazo.

| 17 |

- Lineamiento para la recepción de cheques del exterior.

- Lineamiento para el otorgamiento de créditos de consumo.

- Manual para el otorgamiento de tarjetas de crédito.

- Lineamiento para solicitud, creación y liquidación de préstamos con el exterior

III. Manejo adecuado de litigios existentes y potenciales

- Procedimiento para atender riesgos asociados a litigios, juicios, condiciones contractuales y otros aspectos

legales.

- Procedimiento para monitorear el cumplimiento de tiempos y alcances de las actividades realizadas.

- Manual para la entrega de documentos legales para iniciar juicios.

- Manual sobre embargo de bienes.

- Manual para el traslado de vehículos que quedan en calidad de depósito judicial.

- Manual para adjudicaciones en pago.

IV. Manejo de aspectos corporativos

- Código de Gobierno Corporativo.

- Aprobación de proyectos de productos bancarios y crediticios.

- Lineamiento de obligaciones y responsabilidades de los accionistas de las sociedades del Conglomerado

financiero BAC-Credomatic.

- Procedimiento para cumplimiento de requerimientos de derechos de autor, privacidad y comercio electrónico.

8.2 DESCRIPCIÓN DE LAS METODOLOGÍAS, SISTEMAS Y HERRAMIENTAS DESARROLLADAS

El proceso de gestión del Riesgo Legal incluye las siguientes metodologías, sistemas y herramientas:

1. Repositorio consolidado para documentos legales: constituye unaunidad de red con acceso restringido donde se resguarda informaciónelectrónica de documentos mercantiles, actas de comités de GobiernoCorporativo e información general relacionada con las sociedades y losaccionistas del grupo financiero a nivel local.

2. Sistema de Información de Cumplimiento: Constituye una plataformapara el envío de consultas por parte de las áreas de negocio y otras áreasde control que permite emitir opinión sobre consultas relacionadas conlanzamientos de promociones, nuevos productos o servicios,modificaciones a contratos, y consultas sobre requisitos de apertura decuentas previo a la celebración de los contratos de apertura de productosbancarios, entre otros.

3. Módulo de Control de comunicaciones con entes reguladores ysupervisores: constituye una herramienta que consolida las solicitudes yrequerimientos recibidos en la entidad por parte de los reguladores ysupervisores y permite su distribución mediante notificación electrónica alos correos de las áreas encargadas de su gestión para su oportunarespuesta.

| 18 |

8.3 PROYECTOS ASOCIADOS A LA GESTIÓN DE RIESGO LEGAL

Los proyectos para la gestión de Riesgo Legal en el período 2017 consisten en mantener el monitoreo de los nuevos

productos y servicios de la entidad mediante el Sistema de Información de Cumplimiento, dar seguimiento a la efectiva

respuesta de Oficios y requerimientos de información por parte de las autoridades competentes y los entes reguladores y a la

gestión de Gobierno Corporativo de las diferentes entidades del grupo financiero. Además de ello se realizará una revisión de

las políticas existentes para verificar la validez de todos los contratos, addendums y actos jurídicos que emite la entidad en

consistencia a lo establecido en el artículo 15 de la NPB4-50 Normas para la Gestión del Riesgo Operacional de las Entidades

Financieras.

9. CONTINUIDAD DEL NEGOCIO

La Gestión de Continuidad de Negocios busca proteger los servicios prioritarios de la Organización mediante un enfoque en

riesgos que pueden afectar la entrega del servicio crítico con impacto masivo, penalizaciones regulatorias, pérdidas

económicas e imagen.

La base de gobierno en respuesta al liderazgo y compromiso de la dirección para la gestión de Continuidad de Negocios está

delegada en los comités de Riesgo Operativo y Comité de Administración Integral del Riesgo CAIR.

9.1 POLÍTICAS ACTUALIZADAS PARA LA GESTIÓN DE CONTINUIDAD DEL NEGOCIO El lineamiento L-BAC Credomatic El Salvador-Política de Continuidad de Negocios IFBAC-SAL-0000036 (Versión 4); es

aplicable para el Conglomerado Inversiones Financieras Banco de América Central, S.A., IFBAC: Banco de América Central,

S.A., Credomatic de El Salvador, S.A. de C.V, Inversiones Bursátiles Credomatic, S.A. de C.V., BAC Leasing, S.A. de C.V.

En complemento se encuentra disponible el lineamiento regional L-BAC Credomatic El Salvador-PLAN DE CONTINUIDAD DE

NEGOCIOS IFBAC—0000321, la cual fue aprobada por el Comité de Administración Integral de Riesgos CAIR en sesión

celebrada en mayo 2016 y actuando actuando con facultad delegada por Junta Directiva según lo establecido en las Normas

para la Gestión Integral de Riesgos de las Entidades Financieras NPB4-47, en el artículo 9 literal b.

Alcance de Continuidad de Negocios

1.1 Alcance a nivel de Conglomerado:

4. Informes periódicos sobre Sesiones de comités de GobiernoCorporativo: se realiza una revisión trimestral a la información de lassesiones de Comités de Gobierno corporativo con la finalidad deidentificar puntos de mejora en relación a aspectos como: envío deconvocatorias, cumplimiento de la periodicidad, asistencia de losmiembros, claridad en la redacción de las actas y cumplimiento defunciones, entre otros.

5. Actualización de información de Gobierno Corporativo en sitio web: encumplimiento a lo establecido en el Art. 23 de las NPB 4-48, se realiza unmonitoreo periódico de la información que se debe incorporar al sitio weben el apartado de Gobierno Corporativo, para mantener un registroactualizado de la misma y/o notificar a las áreas encargadas para gestionarsu actualización.

| 19 |

Aplica a todas las empresas del conglomerado IFBAC: Banco de América Central, Credomatic de El Salvador, Inversiones

Bursátiles Credomatic, S.A. de C.V., BAC Leasing, S.A. de C.V.

1.2 Alcance a nivel de Servicios Críticos:

• Banco de América Central: Depósitos, Retiros, Recepción de pagos de préstamos BAC, Cobranza BAC, Transferencias de fondos y servicios regionales, Pago de Planillas y Proveedores, Compensación Interbancaria, Desembolsos de Créditos Banca de personas y Banca de Empresas, Monitoreo de Transacciones, Cierre contable diario Banco/ Reportería financiera.

• Credomatic de El Salvador: Autorizaciones, Recepción de pagos de tarjeta de crédito, Pago a Comercios Afiliados, Cobranza Credomatic, Remesas Credomatic, Monitoreo de Transacciones.

• Inversiones Bursátiles Credomatic: Puesto de Bolsa.

Aprobado por Comité de Riesgo Operativo en sesión desarrollada en el mes de febrero de 2016 y ratificado por los miembros

de Junta Directiva en sesión de Abril 2016

Visibilidad de la Gestión de Continuidad de Negocios y Compromiso de la Alta Gerencia.

La Alta Gerencia se designa como responsable de la política de Continuidad de Negocios y puesta en práctica de la Gestión de

Continuidad de Negocios a la Jefatura de Continuidad de Negocios y Gestión de Riesgos. Asimismo, se confirman los foros

para la presentación de resultados de dicha gestión, según periodicidad establecida en el Código de Gobierno Corporativo:

• Administración Superior: Continuidad del Negocio participa en los Comités de Riesgo Operativo,

• Junta Directiva: Continuidad del Negocio se presenta a través del Gerente de Gestión Integral de Riesgos y

Cumplimiento.

Estructura del Sistema de Gestión de Continuidad del Negocio

• Plan de CN- Negocio: Responsabilidad delegada en Jefe de Continuidad de Negocios y Gestión de Riesgos.

Busca prioritariamente, preparar a la Organización en las acciones necesarias para mantener la

disponibilidad de sus servicios prioritarios (alcance de Continuidad de Negocios) ante la ocurrencia de

interrupciones provocadas por incidentes de impacto alto.

El Plan de Continuidad de Negocios del GFBC, estará compuesto por los planes de continuidad para cada

proceso crítico incluido en el alcance de Continuidad de Negocios.

Se incluirá un capítulo para cada proceso crítico, el cual deberá ser autorizado por el Gerente del Área del

Negocio, quien estará apoyado por uno o más coordinadores de Continuidad de Negocios según lo defina,

para llevar a cabo entre otras actividades: la documentación y actualización de la información,

manteniéndola vigente, dándola a conocer al personal involucrado y velando porque se implemente cuando

sea requerido.

• Plan de Emergencias: Responsabilidad delegada en Gerente de Recursos Humanos

Busca prioritariamente, proteger la integridad física de los colaboradores, clientes, activos y partes

interesadas de la Organización ante posibles incidentes de Continuidad.

| 20 |

El plan de Emergencias pretende facilitar la atención de los colaboradores y clientes (cuando estuvieren

visitando alguna de las instalaciones del Grupo) con métodos y técnicas de evacuación, reacción contra

incendios y de primeros auxilios.

Este plan tendrá un alcance, ante los siguientes tipos de emergencia: Conato de Incendio, Terremoto e

Inundaciones.

• Plan de CN - Tecnología: Responsabilidad delegada en Gerente de Sistemas.

Este documento contiene el Marco de Referencia para la activación de los Planes de Continuidad para la

Infraestructura de Tecnología, que soporta la operación de los Servicios Críticos de Negocio de BAC |

Credomatic Network.

Dicho documento es un instrumento para ser usado por los mandos medios y altos de las áreas Tecnología

de Información y Comunicaciones Locales y Regionales, en caso de materializar un evento o desastre que

interrumpa (a nivel de TI) la ejecución de los Servicios Críticos de la organización.

Este plan consolida la información necesaria para la activación de los Planes de Recuperación y Restauración

de las Plataformas Tecnológicas que soportan Servicios Críticos, misma que se encuentran administradas

por la Gerencia de Sistemas.

Su objetivo está enfocado en garantizar la disponibilidad de la Infraestructura de Tecnología parcial o total

que soporta los Servicios Críticos de Negocios en caso de un desastre según los esquemas que se posean.

9.2 DESCRIPCIÓN DE LAS METODOLOGÍAS, SISTEMAS Y HERRAMIENTAS UTILIZADAS La administración de la Gestión de Continuidad de Negocios toma como referencia el estándar ISO 22301:2012 Seguridad de

las Sociedades para la definición de la Política de Continuidad de Negocios cuyo objetivo es establecer las directrices para el

análisis, desarrollo, implementación y mantenimiento de la gestión de forma coherente con el plan estratégico de la

Organización.

Toda la documentación está disponible en el repositorio oficial de documentación del sistema de gestión Organizacional,

según detalle:

• L-BAC Credomatic El Salvador-Política de Continuidad de Negocios IFBAC-SAL-0000036 (Versión 4)

• L-CORP-POLITICA REGIONAL DE CONTINUIDAD DE NEGOCIO-REG-0000169 (Versión 8)

• L-BAC Credomatic El Salvador-PLAN DE CONTINUIDAD DE NEGOCIOS IFBAC--0000321 (Versión 1)

• SP-CORP-Gestión de Continuidad del Negocio-REG-0000293 (Versión 1)

• Manual de Gestión de Continuidad de Negocios GFBC

• Plan de Continuidad de Negocio Conglomerado IFBAC

Lista no exhaustiva de documentación aprobada.

9.3 RESULTADO DE LA EVALUACIÓN EFECTUADA A LA GESTIÓN DE CONTINUIDAD DEL NEGOCIO

Para el desarrollo de la Gestión se cuenta con un plan de trabajo que es evaluado por la oficina regional de Continuidad de Negocios, los resultados con corte a Diciembre 2016, se presentan a continuación:

| 21 |

La Gestión de Continuidad de Negocios también es supervisada por el área de Auditoría Interna, los resultados de la evaluación 2016 son incluidos a continuación: El área de auditoria interna realizó el informe DAISALBAC- 20/2016 - Plan de Contingencia de TI referido a la Gerencia de Sistemas y Gerencia de Gestión Integral de Riesgos y Cumplimiento; con fecha 30 de Junio 2016. Objetivos:

• Verificar que los servicios críticos bajo alcance del plan de Continuidad de Negocios TI estén incluidos en el Bussiness Impact Analisys (BIA) y Risk Impact Analisys (RIA) autorizados.

• Verificar que las estrategias de continuidad de negocios (CN) implementadas en el área de tecnología responden a los riesgos identificados en el BIA/RIA y que su documentación en el Plan de CN se encuentra actualizada.

• Evaluar el grado de efectividad alcanzado por el Plan de Contingencias de TI a través de las pruebas ejecutadas por la Administración de TI.

• Dar seguimiento a evaluaciones realizadas sobre la CN de BAC |Credomatic. Calificación: “C” requiere mejoras. El informe detalló una oportunidad de mejora menor para la Gestión de Continuidad de Negocios la cual fue trabajada de acuerdo al Sistema de Gestión Organizacional con petición de acción correctiva PAC No. AI.0000461GMEC-. Dicha observación fue solventada en el mes de Septiembre de 2016. El resto de observaciones fueron asignadas a la Gerencia de Sistemas. Así mismo, auditoria interna realizó el informe DAISALBAC- 38/2016 – Evaluación de Proceso de Transferencias Internacionales referido a la Gerencia de Canales y Operaciones con fecha 30 de Junio 2016, informe en el cual se detalló oportunidad de mejora para la Gestión de Continuidad de Negocios y que fue trabajada de acuerdo al Sistema de Gestión Organizacional con petición de acción correctiva PAC No. AI.0000515KASO. Dicha observación fue solventada en el mes de Enero 2017.

9.4 PROYECTOS ASOCIADOS A LA GESTIÓN DE CONTINUIDAD DEL NEGOCIO A DESARROLLAR EN 2017

Dado que la implementación de una Gestión a nivel corporativo es un proyecto a mediano plazo, en 2017 se espera continuar con la ejecución del plan de trabajo para cubrir los requisitos del estándar 22301:2012 Seguridad de las Sociedades.

3 100% 3 100% 3 100% 3 100% 3 97% 3 100% 3 100% 2 60% 3 100% 3 100% 3 100% 3 100%

0 3 100% 3 100% 3 100% 3 90% 0 0 0 3 100% 3 100% 3 100% 0

0 0 0 0 0 0 0 0 0 0 3 100% 0

0 0 0 3 100% 0 0 0 3 100% 0 3 100% 3 100% 3 100%

0 3 100% 0 0 3 100% 3 100% 3 100% 0 0 0 0 0

0 0 0 3 100% 3 100% 3 100% 0 0 0 0 0 0

0 0 0 0 0 0 0 0 3 100% 3 100% 0 3 100%

0 3 100% 0 0 0 0 0 0 0 0 0 0

INICIATIVA

20%

10%

18%

15%

17%

10%

10%

NOVIEMBRE DICIEMBREJUNIO JULIO AGOSTO SEPTIEMBRE OCTUBREENERO FEBRERO MARZO ABRIL MAYO

Análisis de Impacto

Gestión de Incidentes

Programa de pruebas

Concientización y Capacitación

Planes de Continuidad

Análisis GAP

Requerimientos de oficina regional

informe gestion integral de riesgos 2016 - bac credomatic€¦ · estructura organizativa de la...

Documents