INFORME DE GESTIÓN INTEGRAL DE RIESGOS BANCO DE … · cumplimiento de las políticas, límites...

INFORME DE GESTIÓN INTEGRAL DE RIESGOS BANCO DE AMÉRICA CENTRAL, S.A.

AÑO 2017

1 |

Contenido

I. ESTRUCTURA ORGANIZATIVA PARA LA GESTIÓN INTEGRAL DE RIESGOS .................................... 2

II. DETALLE DE LOS PRINCIPALES RIESGOS ASUMIDOS POR LAS ACTIVIDADES DE LA ENTIDAD ...... 2

1. RIESGO DE CRÉDITO ...................................................................................................................... 2

2. RIESGO DE MERCADO.................................................................................................................... 4

3. RIESGO DE LIQUIDEZ ..................................................................................................................... 5

4. RIESGO OPERACIONAL .................................................................................................................. 7

B. RIESGO TECNOLÓGICO .......................................................................................................................... 9

C. RIESGO LEGAL ....................................................................................................................................... 11

5. RIESGO REPUTACIONAL ............................................................................................................... 13

Miembro BAC | CREDOMATIC NETWORK

INFORME DE LA EVALUACIÓN TÉCNICA DE LA GESTIÓN INTEGRAL DE RIESGOS

I. ESTRUCTURA ORGANIZATIVA PARA LA GESTIÓN INTEGRAL DE RIESGOS

Estructura de Gestión de Riesgos a nivel de comites y areas involucradas

II. DETALLE DE LOS PRINCIPALES RIESGOS ASUMIDOS POR

1. RIESGO DE CRÉDITO

2. RIESGO DE MERCADO

3. RIESGO DE LIQUIDEZ

4. RIESGO OPERACIONAL

5. RIESGO REPUTACIONAL

El Riesgo de Crédito se define como el riesgo derivado de la

frente a sus obligaciones contractuales. Este surge cuando los flujos de caja comprometidos por

préstamos y valores pueden no ser pagados oportuna o totalmente según lo estipulado en el contrato,

resultando así una perdida financiera para el banco.

BANCO DE AMÉRICA CENTRAL, S.A.

Miembro BAC | CREDOMATIC NETWORK

LA EVALUACIÓN TÉCNICA DE LA GESTIÓN INTEGRAL DE RIESGOS

AÑO 2017

ESTRUCTURA ORGANIZATIVA PARA LA GESTIÓN INTEGRAL DE RIESGOS

Estructura de Gestión de Riesgos a nivel de comites y areas involucradas

DETALLE DE LOS PRINCIPALES RIESGOS ASUMIDOS POR LAS ACTIVIDADES DE LA ENTIDAD

RIESGO DE CRÉDITO

RIESGO DE MERCADO

RIESGO DE LIQUIDEZ

RIESGO OPERACIONAL. Incluye Riesgo Tecnológico y Riesgo Legal.

RIESGO REPUTACIONAL

1. RIESGO DE CRÉDITO

El Riesgo de Crédito se define como el riesgo derivado de la incertidumbre de la capacidad del deudor



perdida financiera para el banco.

2 |

LA EVALUACIÓN TÉCNICA DE LA GESTIÓN INTEGRAL DE RIESGOS

ESTRUCTURA ORGANIZATIVA PARA LA GESTIÓN INTEGRAL DE RIESGOS

LAS ACTIVIDADES DE LA ENTIDAD

incertidumbre de la capacidad del deudor



3 |

El Departamento de Riesgos Financieros, mediante la Gestión de Riesgo de Crédito, se encarga del

proceso de identificación, medición, monitoreo, control y divulgación del Control de Riesgo de Crédito,

en el conjunto de objetivos, políticas, procedimientos y acciones establecidas por el banco para este

propósito.

1.1. POLÍTICAS ACTUALIZADAS PARA LA GESTIÓN DE RIESGO DE CRÉDITO El banco cuenta con una Política de la Gestión de Riesgo de Crédito y Concentración, tal como lo

establece la NPB4-49 en el Artículo 4. La Junta Directiva, aprobó dicha política, quedando en vigencia

por tiempo indefinido. Se realizó ratificación a la política, las cual fue aprobada por el Comité de

Gestión Integral de Riesgos CAIR celebrada el 10 de febrero de 2017.

El departamento de riesgos financieros tiene un manual de Riesgos Financieros donde se establecen los indicadores de concentración de cartera, asunción de riesgos, top de deudores y otros indicadores que engloba y documenta los procesos que se realizan para el cumplimiento del ciclo de gestión. Una de las herramientas utilizadas para la evaluación de Riesgo de Crédito es la “Simulación de

Escenarios de Estrés”, que se lleva a cabo al menos cada seis meses, realizando una simulación de

escenarios adversos en la Carteras Corporativas y Carteras de Personas, incluida la tarjeta de crédito,

dichas simulaciones son realizadas por la Dirección Regional. Asimismo, el Departamento de Riesgos

Financieros realiza las pruebas para la cartera hipotecaria de manera semestral.

1.2. DESCRIPCIÓN DE LAS METODOLOGÍAS, SISTEMAS Y HERRAMIENTAS UTILIZADAS El proceso de otorgamiento de crédito se divide en dos áreas, una es el proceso para créditos de banca

de persona y la otra es créditos de empresas.

En banca de personas el proceso se desarrolla en una herramienta automática llamada Mantiz, en el

work-flow de Mantiz se integran tres motores, el de pre-valuación, buros (interno y Superintendencia

del Sistema Financiero) y oferta comercial. El proceso de otorgamiento de créditos comienza en la

evaluación del riesgo del cliente y se considera la solvencia y la capacidad del pago del cliente.

El otorgamiento de créditos de empresas se define por un instrumento que es el Memorándum de

Crédito (MC). En el proceso de otorgamiento se considera la situación financiera y la capacidad de

generación de flujos futuros. Una vez originada la relación crediticia se le da seguimiento consistente

en la actualización de sus estados financieros, sesiones, valuos y visitas que permiten a la institución

asegurar el cumplimiento de las obligaciones del cliente con el banco.

Para los créditos de banca de empresas, el cálculo de la provisión se realiza por medio del análisis de

los estados financieros a partir de los cuales se obtiene el índice “IRRBAC”, que establece un puntaje

de acuerdo a la información suministrada, y este se convierte en un CRR, el cual asigna una calificación

a cada empresa que puede estar entre 1 y 9. A partir de esta calificación se realiza la provisión para

cada crédito.

4 |

Otra herramienta que se utiliza es el dashboard de concentración, mensualmente se mide la

exposición por tipo de cartera y sector económico, para esto la Junta Directiva ha aprobado niveles

máximos de tolerancia y se monitorea para poder alertar a las áreas de riesgos y de negocio cuando la

institución se está acercando o se han sobrepasado los umbrales que han sido definidos como el

apetito de riesgo.

1.3. RESULTADO DE LA EVALUACIÓN EFECTUADA A LA GESTIÓN DE RIESGO DE CRÉDITO El área de auditoría interna realizo el informe DAISALBAC-38/2017 sobre la Evaluación NPB4-49

“Normas para la gestión del riesgo crediticio y concentración de crédito” con fecha septiembre 2017.

Objetivo de la auditoria:

a) Evaluar cumplimiento con los principales requerimientos establecidos en las “Normas para la

gestión de riesgo crediticio y concentración de crédito”.

b) Evaluar el cumplimiento con parámetros de indicadores gerenciales y regulatorios.

c) Realizar seguimiento a los hallazgos revelados en el informe anterior de Auditoria Interna.

La calificación del informe es “B” Satisfactoria, esta se asigna a aquellas áreas o procesos en los cuales

Auditoría interna detectó que los controles son apropiados para mantener un nivel razonable de

seguridad, la mitigación de riesgos esta en cumplimiento con los objetivos del negocio, sin embargo se

detectaron algunos puntos de mejora no significativos, a los cuales la administración de riesgos les

está dando seguimiento.

2. RIESGO DE MERCADO

El Riesgo de Mercado se define como la posibilidad que el Banco incurra en pérdidas como resultado

de los cambios en los precios de mercado de los instrumentos financieros en que mantiene

exposiciones dentro o fuera del balance.

Se estableció la siguiente estructura para la Gestión de Riesgo de Mercado, la cual fue aprobada en

Junta Directiva, donde el Departamento de Riesgos Financieros controla el riesgo, informando el

desempeño y desviaciones.

2.1. POLÍTICAS ACTUALIZADAS PARA LA GESTIÓN DE RIESGO DE MERCADO La política de Gestión de Riesgo de Mercado fue aprobada en sesión 04/2014 celebrada el 14 de octubre de 2014, con vigencia a partir de esa fecha y fue ratificada en el Comité Integral de Riesgos en sesión 02/2017 celebrada el 10 de febrero de 2017. La institución cuenta con una Política de Inversiones a nivel regional que establece una serie de controles y parámetros que toman en cuenta la calificación y calidad de los emisores, límites específicos de inversión, la diversificación de los portafolios del grupo y sus custodios.

5 |

Para el monitoreo y control de la gestión de riesgo de mercado se han identificado los límites establecidos en la “Política de liquidez e inversión local ” y la “Política de Gestión de Riesgo de Mercado” la cual se utiliza para la administración de las operaciones de la tesorería del banco. 2.2. DESCRIPCIÓN DE LAS METODOLOGÍAS, SISTEMAS Y HERRAMIENTAS UTILIZADAS El proceso de monitoreo y medición del riesgo se realiza a través de controles de la ejecución y

liquidación de las negociaciones de los instrumentos de inversión, de esta manera el Middle Office

previo a la autorización revisa las condiciones de la inversión y posterior a la negociación se verifica

que la inversión se haya cerrado y contabilizado de acuerdo a lo aprobado. El banco cuenta con un

módulo de administración del portafolio llamado MACCI donde se registra las aprobaciones de las

compras y ventas de los títulos.

Se efectúa el análisis de la sensibilidad de cambio de tasas de interés para los activos y pasivos llamado

GAP de tasas y se establece el impacto que generan los cambios porcentuales de las tasas de interés

en el margen financiero del banco, además se establece un monitoreo de las tasas de mercado local

activas y pasivas por medio de la volatilidad de tasas, lo cual permite determinar los rangos en los

cuales se mueven las tasas.

Se verifica la aplicación de la política de inversiones, se calcula Valor en Riesgo VaR para el de

portafolio y se realizan las pruebas de stress, esto con el objetivo de determinar la pérdida máxima

esperada dado un nivel de confianza en un horizonte de tiempo determinado. Los resultados de la

Gestión de Riesgo de mercado son escalados en los Comité de Activos y Pasivos, Comité de

Administración Integral de Riesgo y Comité de Tasas.

2.3. RESULTADO DE LA EVALUACIÓN EFECTUADA A LA GESTIÓN DE RIESGO DE MERCADO Como parte del plan de trabajo, en el presente ciclo se llevaron a cabo Auditorías para verificar la capacidad de los controles creados para el buen funcionamiento del Middle-Office en las operaciones bursátiles. La institución se encuentra comprometida con el cumplimiento de normativas y regulaciones por lo que se cumple con la Ley Sarbenes Oxley (SOX) los controles que se tienen en la medición del riesgo de mercado son la valoración del portafolio y validación sobre negociación de inversiones, los cuales han sido aprobado por el Líder SOX e incluidos dentro de la Matriz de Tesorería y describen las responsabilidades específicas a la gestión integral de riesgos. Dicho control también ha sido evaluado por auditoria interna.

3. RIESGO DE LIQUIDEZ

El banco tiene como objetivo cumplir con sus obligaciones contractuales de tal manera que los

depositantes y proveedores de fondos puedan tener acceso a sus recursos en el momento establecido.

Para ello se han implementado herramientas que permiten medir la volatilidad de los depósitos,

suficiencia de reservas de liquidez y adecuado manejo de los fondos líquidos, para utilizarlos de la

manera más eficiente, tomando en cuenta los cambios en el entorno que pudieran dificultar la

disponibilidad inmediata del efectivo.

6 |

3.1. POLÍTICAS ACTUALIZADAS PARA LA GESTIÓN DE RIESGO DE LIQUIDEZ Durante el año 2017, dando cumplimiento al Artículo 5 literal b) de la NRP-05, se aprobó la

actualización del Plan de Contingencia y el Manual de Riesgos Financieros en sesión de Comité Integral

de Riesgos 02/2017 celebrada el 10 de febrero de 2017. El Plan establece los roles y

responsabilidades ante un evento de contingencia, eventos que activas el plan, fuentes de fondeo

interna y externas como alternativa ante una eventual crisis, procedimientos para administrar la crisis

y canales de comunicación que deben utilizarse. Durante el año 2017 se realizó una prueba al plan,

simulando un escenario controlado que busca medir el grado de preparación de los responsables de

implementar el plan y la forma en que abordarían una crisis de opinión publica generada por una

corrida de fondos.

El departamento de riesgos financieros también cuenta con un manual que define los roles y

responsabilidades en la toma del riesgo, define los indicadores y la metodología de análisis.

3.2 DESCRIPCIÓN DE LAS METODOLOGÍAS, SISTEMAS Y HERRAMIENTAS UTILIZADAS

Para medir el riesgo de liquidez se construyen Indicadores como el Calce de Plazos, Cálculo de las

Reservas, Activos Líquidos, Coeficiente de Liquidez, Índice de Cobertura de liquidez, Shock de liquidez,

entre otros. En el aspecto de la medición al riesgo de liquidez en el corto, mediano y largo plazo, se

efectúan los siguientes análisis: cumplimiento de la reserva, resultados de la liquidez por plazos de

vencimiento y la capacidad de respuesta en escenarios de estrés, volatilidad de depósitos, variación de

depósitos, concentración de depósitos y sectores, así como también el seguimiento de indicadores de

riesgo de la casa de corredores de bolsa del grupo, Inversiones Bursátiles Credomatic.

La identificación del riesgo de liquidez consiste en un proceso que reconoce los factores de

sensibilidad, que al presentar comportamientos adversos, retardan o aceleran el ingreso o salida de

fondos, impactando la liquidez. Se debe cuantificar el riesgo de liquidez con el objeto de determinar el

cumplimiento de las políticas, límites fijados, y medir el posible impacto económico en los resultados

financieros. Para efectos de mitigar el riesgo de liquidez se establecerán controles desarrollados por la

Gerencia de Planificación y Finanzas y el Departamento de Riesgos Financieros.

Durante el año 2017 se presentaron los requerimientos de las Normas Técnicas para la Gestión del

Riesgo de Liquidez NRP-05, el cual consiste en un monitoreo mensual y dos semestrales de la liquidez

según las premisas elaboradas por la institución y especificaciones emitidas por la SSF, el resultado de

estos indicadores durante el año 2017 fue satisfactorio para la organización, tanto para el modelo

normal como el estresado.

3.3 RESULTADO DE LA EVALUACIÓN EFECTUADA A LA GESTIÓN DE RIESGO DE LIQUIDEZ

El área de auditoría interna realizo el informe DAISALBAC-14/2017 sobre la Evaluación “Gestión del

Riesgo de Liquidez” con fecha Marzo 2017.

Objetivo de la auditoria:

a) Evaluar las principales políticas y controles internos implementados para asegu

cumplimiento con las normas técnicas para la gestión del riesgo de liquidez.

b) Evaluar el cumplimiento con parámetros mínimos de los indicadores legales y gerenciales.

La calificación del informe es “B” Satisfactoria, esta se asigna a aquellas área

Auditoría interna detecto que los controles son apropiados para mantener un nivel razonable de


detectaron algunos puntos de mejora no significativos, a los cuale

está dando seguimiento.

El Conglomerado Financiero: GRUPO FINANCIERO BAC CREDOMATIC

la gestión de riesgos operativos que es obligatorio para todas las entidades,objeto describir los principios fundamentales que sustentan la gestión para todas las empresas, así como establecer un lenguaje común, y definiciones para una oportuna gestión que permita el cumplimiento a los requisitos regulatorios operativo. Lo anterior en relación a las mejores prácticas definidas en las Normas para la gestión del riesgo

operacional de las entidades financieras (NPB4

las entidades financieras (NPB4-47).

Se incluyen como parte de este riesgo, el riesgo tecnológico y legal.

Las etapas de la Gestión de Riesgo Operacional se presentan a continuación

El diseño del marco general de administración de los rie

administrativos centrales:

i. Propiedad descentralizada de los riesgos con responsabilidad en cada Gerencia de área.ii. Coordinación y seguimiento general por parte del área de Gestión de Riesgo Operacionaliii. Supervisión independiente del Comité de Riesgos Operacionalesiv. Evaluación independiente de las Auditoría Internas

Identificación,

monitoreo de riesgos

Diseño y Evaluación de Controles

Generación de Reportes

Evaluar las principales políticas y controles internos implementados para asegu


Evaluar el cumplimiento con parámetros mínimos de los indicadores legales y gerenciales.

La calificación del informe es “B” Satisfactoria, esta se asigna a aquellas áreas o procesos en los cuales

interna detecto que los controles son apropiados para mantener un nivel razonable de


detectaron algunos puntos de mejora no significativos, a los cuales la administración de riesgos les

4. RIESGO OPERACIONAL

GRUPO FINANCIERO BAC CREDOMATIC ha establecido un marco mínimo para la gestión de riesgos operativos que es obligatorio para todas las entidades, este marco tiene por objeto describir los principios fundamentales que sustentan la gestión para todas las empresas, así como establecer un lenguaje común, y definiciones para una oportuna gestión que permita el cumplimiento a los requisitos regulatorios aplicables a nivel de negocio para la gestión de riesgo

Lo anterior en relación a las mejores prácticas definidas en las Normas para la gestión del riesgo

operacional de las entidades financieras (NPB4-50) y la Norma para la gestión integral

47).

Se incluyen como parte de este riesgo, el riesgo tecnológico y legal.

Las etapas de la Gestión de Riesgo Operacional se presentan a continuación:

El diseño del marco general de administración de los riesgos operativos sigue cuatro elementos

Propiedad descentralizada de los riesgos con responsabilidad en cada Gerencia de área.Coordinación y seguimiento general por parte del área de Gestión de Riesgo Operacional

ependiente del Comité de Riesgos Operacionales Evaluación independiente de las Auditoría Internas

Identificación, Evaluación y

monitoreo de riesgos

Mitigación de Riesgos

Reportes de Incidentes riesgos

Diseño y Evaluación

7 |

Evaluar las principales políticas y controles internos implementados para asegurar el


Evaluar el cumplimiento con parámetros mínimos de los indicadores legales y gerenciales.

s o procesos en los cuales

interna detecto que los controles son apropiados para mantener un nivel razonable de


s la administración de riesgos les

ha establecido un marco mínimo para este marco tiene por

objeto describir los principios fundamentales que sustentan la gestión para todas las empresas, así como establecer un lenguaje común, y definiciones para una oportuna gestión que permita el

aplicables a nivel de negocio para la gestión de riesgo

Lo anterior en relación a las mejores prácticas definidas en las Normas para la gestión del riesgo

50) y la Norma para la gestión integral de riesgos de

sgos operativos sigue cuatro elementos

Propiedad descentralizada de los riesgos con responsabilidad en cada Gerencia de área. Coordinación y seguimiento general por parte del área de Gestión de Riesgo Operacional

4.1 POLITICAS ACTUALIZADAS PARA LA GESTION DE RIESGO OPERACIONAL

La organización realiza una revisión anual de la política de gestión de riesgo operacional, como parte

del mejoramiento continuo y definir los ajustes que se requieran. Aunado a ello se da cumplimiento a

lo dispuesto en el art. 6 de la “Norma de Gestión de

Política para la Gestión de Riesgo Operacional L

tiene aplicabilidad al conglomerado Inversiones Financieras Banco de América Central, S.A., IFBAC:

Banco de América Central, S.A., Credomatic de El Salvador, S.A. de C.V, Inversiones Bursátiles

Credomatic, S.A. de C.V., BAC Leasing, S.A. de C.V.

Dicha Política Proporciona las directrices generales para la identificación, evaluación, control,

monitoreo y reporte de la gestión de riesgos operativos que pueden afectar a la organización con el

objetivo de asegurar la adecuada gestión y tratamiento de los riesgos para que estén dentro del

apetito de riesgo aprobado, y poder tener entonces una seguridad razonable con

los objetivos organizacionales.

Así mismo, siendo parte del Grupo Financiero BAC | Credomatic Network que opera a nivel regional,

requiere que la administración cumpla con las regulaciones locales, así como también con la alineación

al Lineamiento de Riesgo Operativo Regional, L

4.2 DESCRIPCION DE METODOLOGIAS, SISTEMAS Y HERRAMIENTAS UTILIZADAS PARA LA GESTION

DE RIESGO OPERACIONAL

Para el año 2017 y con el propósito de llevar a cab

en cumplimiento a lo dispuesto por la “Normas para la Gestión del Riesgo Operacional de las entidades

financieras (NPB4-50), en ese sentido se expusieron los elementos de la Política y el Manual para la

gestión de riesgo operacional, así como las herramientas relacionadas a la identificación, mitigación,

generación de indicadores, evaluación de ambiente, reporte de incidentes y evaluación de las

unidades funcionales.

Los principales pilares de la metodolo

4.3 RESULTADO DE LA EVALUACIÓN EFECTUADA A LA GESTIÓN DE RIESGO OPERACIONAL

Alcance de la Gestión de Riesgo Operacional

Política Gestión

•Riesgo Operativo

•Riesgo Tecnológico

POLITICAS ACTUALIZADAS PARA LA GESTION DE RIESGO OPERACIONAL



lo dispuesto en el art. 6 de la “Norma de Gestión de Riesgo Operacional NPB4-50”, se cuenta con una

Política para la Gestión de Riesgo Operacional L-BAC Credomatic El Salvador – SAL


América Central, S.A., Credomatic de El Salvador, S.A. de C.V, Inversiones Bursátiles



e de la gestión de riesgos operativos que pueden afectar a la organización con el


apetito de riesgo aprobado, y poder tener entonces una seguridad razonable con respecto al logro de



al Lineamiento de Riesgo Operativo Regional, L-CORP-Gestión de Riesgos Operativos

DESCRIPCION DE METODOLOGIAS, SISTEMAS Y HERRAMIENTAS UTILIZADAS PARA LA GESTION

Para el año 2017 y con el propósito de llevar a cabo el proceso de revisión anual de dicha metodología


50), en ese sentido se expusieron los elementos de la Política y el Manual para la

estión de riesgo operacional, así como las herramientas relacionadas a la identificación, mitigación,


Los principales pilares de la metodología de riesgo operacional se encuentran en:

RESULTADO DE LA EVALUACIÓN EFECTUADA A LA GESTIÓN DE RIESGO OPERACIONAL

Alcance de la Gestión de Riesgo Operacional

Manual Operativo

•Identificación en Herramienta de RO - SIXPRO

•Controles (Diseño y Ejecución)

•Matriz de Riesgo Relevante

Herramienta

•SIXPRO

•SHAREPOINT Riesgo TI

•Plantilla Excel plazo de dos años a partir de enero 2017 solo para RO no ROTI.

8 |



50”, se cuenta con una

SAL-0000063, la cual


América Central, S.A., Credomatic de El Salvador, S.A. de C.V, Inversiones Bursátiles


e de la gestión de riesgos operativos que pueden afectar a la organización con el


respecto al logro de



Gestión de Riesgos Operativos –REG-0000379.

DESCRIPCION DE METODOLOGIAS, SISTEMAS Y HERRAMIENTAS UTILIZADAS PARA LA GESTION

o el proceso de revisión anual de dicha metodología


50), en ese sentido se expusieron los elementos de la Política y el Manual para la

estión de riesgo operacional, así como las herramientas relacionadas a la identificación, mitigación,


RESULTADO DE LA EVALUACIÓN EFECTUADA A LA GESTIÓN DE RIESGO OPERACIONAL

Herramienta

SHAREPOINT Riesgo TI

Plantilla Excel – migración plazo de dos años a partir de enero 2017 solo para RO no

9 |

Al cierre del año 2017 de BAC|CREDOMATIC El Salvador contó con 109 unidades funcionales

correspondientes a 22 gerencias de áreas que son responsables directos de la ejecución, las cuales

durante el año desarrollaron cada una de las etapas del ciclo de gestión de riesgo operacional.

Apetito y Nivel de Tolerancia de Riesgo Operativo de la Organización

El nivel de tolerancia de riesgo operativo estará monitoreado a través del seguimiento de las pérdidas

cuantificables ocasionadas por riesgos materializados; esto mediante una razón definida para

determinar el porcentaje de las pérdidas operativas respecto a las utilidades netas antes de impuestos

y diferencial cambiario; dichos niveles son revisables anualmente.

Cualquier riesgo identificado cuya evaluación esté por encima del apetito de riesgo establecido,

deberá ser gestionado de tal manera que se tomen acciones para que la combinación de sus valores de

probabilidad e impacto quede por debajo del apetito. La estrategia de tratamiento de los riesgos

puede hacerse mediante el establecimiento de mecanismos de mitigación, transferencia o aceptación

de los riesgos. También puede monitorearse mediante indicadores de riesgo operativo.

4.4 RESULTADO DE LA EVALUACIÓN EFECTUADA A LA GESTIÓN DE RIESGO OPERACIONAL El área de auditoría interna realizó Evaluación de Gestión Riesgo Operativo con corte al mes de Septiembre 2017. Objetivos de Auditoría:

a) Evaluar el cumplimiento con los principales requerimientos establecidos en la Norma NPB4-50 “Normas para la Gestión de Riesgo Operacional de las Entidades Financieras”. b) Evaluar la gestión del riesgo operacional, realizada por el Departamento de Riesgo Operativo. c) Evaluar el cumplimiento con política de vacaciones – puestos críticos y lineamiento conozca a su empleado-KYE, en lo aplicable al monitoreo de operaciones monetarias del personal. d) Verificar la migración de los controles SOX a Matrices de Riesgo Operativo (RO).

A la fecha de informe RO, no se cuenta con informe final de resultado de evaluación.

B. RIESGO TECNOLÓGICO

Reconocemos el Riesgo Tecnológico como parte integral del Riesgo Operativo, en consecuencia su implementación, desarrollo y control se realiza a partir de las directrices enmarcadas en las Normas para la gestión del riesgo operacional de las entidades financieras (NPB4-50) y la Norma para la gestión integral de riesgos de las entidades financieras (NPB4-47). POLÍTICAS ACTUALIZADAS PARA LA GESTIÓN DE RIESGO TECNOLÓGICO Dando cumplimiento a lo dispuesto en el Art. 6 de la “Norma de Gestión de Riesgo Operacional NPB4-

50”, y para asegurar una adecuada gestión de Riesgo Tecnológico, se cuenta con la aprobación por la

Junta Directiva de la siguiente política: “L-CORP-Gestión de Riesgos Operativos – REG-0000379” la cual


Banco de América Central, S.A., Credomatic de El Salvador, S.A. de C.V, Inversiones Bursátiles


Dicha política proporciona las directrices generales para la identificación, evaluación, control,

monitoreo y reporte de la gestión de riesgos operativos que pueden afectar a la organización

ofreciendo una seguridad razonable de la operatividad que ejecuta la Gerencia de Sistemas.

Lineamientos y Manual Operativo que soportan la Gestión de Riesgo Tecnológico:En Lineamiento y Metodología de Riesgo Operativo se integra la Gestión de Riesgo Tecnológico; siendo documentada en:

• L-CORP-Gestión de Riesgos Operativospresentada en comité de RO en mayo de 2017.

• Manual Operativo: Metodología Regional para la Gestión de Riesgos Operativos en BAC|Credomatic Network (versión 23) Publicadmayo de 2017.

DESCRIPCIÓN DE LAS METODOLOGÍAS, SISTEMAS Y HERRAMIENTAS UTILIZADASEn 2017 se concluye la implementación de la metodología de Riesgo Tecnológico, basada en el marco

de referencia COBIT.

La Gestión de Riesgo Tecnológico la realizamos utilizando un catálogo estándar de riesgos generales de

TI y con alcance sobre los servicios críticos de negocio. Para determinar estos riesgos generales de TI,

se ha definido la metodología tomando como insumo lo estab

para Riesgos” donde se definen 20 categorías que permiten determinar, de manera más completa,

nuestro catálogo estándar de riesgos de TI.

Se cuenta con un catálogo estándar, a partir del cual se hace el ejercicio de

riesgos priorizados para la Organización.

Se enlista las metodologías a nivel de política, sistemas y herramientas utilizadas:

RESULTADOS DE LA EVALUACIONES EFECTUADAS A LA GESTIÓN DEL RIESGO TECNOLÓGICOPara el desarrollo de la Gestión de Riesgo Tecnológico se cuenta con un plan de trabajo que es evaluado por la oficina regional de Riesgo Tecnológico.Todas las tareas se finalizaron al 100%. Los resultados corte diciembre 2017, se presentan a continuación:

Política Gestión

•Riesgo Operativo

•Riesgo Tecnológico

Lineamientos y Manual Operativo que soportan la Gestión de Riesgo Tecnológico:En Lineamiento y Metodología de Riesgo Operativo se integra la Gestión de Riesgo Tecnológico;

Gestión de Riesgos Operativos-REG-0000379(versión 3) publicada 13/02/2017. presentada en comité de RO en mayo de 2017. Manual Operativo: Metodología Regional para la Gestión de Riesgos Operativos en BAC|Credomatic Network (versión 23) Publicada 13/02/2017. presentada en comité de RO en

DESCRIPCIÓN DE LAS METODOLOGÍAS, SISTEMAS Y HERRAMIENTAS UTILIZADAS En 2017 se concluye la implementación de la metodología de Riesgo Tecnológico, basada en el marco

de Riesgo Tecnológico la realizamos utilizando un catálogo estándar de riesgos generales de


se ha definido la metodología tomando como insumo lo establecido por ISACA en su libro “COBIT 5


nuestro catálogo estándar de riesgos de TI.

Se cuenta con un catálogo estándar, a partir del cual se hace el ejercicio de medición obteniéndose los

riesgos priorizados para la Organización.


RESULTADOS DE LA EVALUACIONES EFECTUADAS A LA GESTIÓN DEL RIESGO TECNOLÓGICOGestión de Riesgo Tecnológico se cuenta con un plan de trabajo que es

evaluado por la oficina regional de Riesgo Tecnológico. Todas las tareas se finalizaron al 100%. Los resultados corte diciembre 2017, se presentan a

Manual Operativo

•Matriz de Riesgos Relevantes

•Documentación de Riesgos en SIXPRO

•Seguimiento a Planes de Acción

•Controles (Diseño y Ejecución)

Herramientas

•SIXPRO

•SharePoint

10 |

Lineamientos y Manual Operativo que soportan la Gestión de Riesgo Tecnológico: En Lineamiento y Metodología de Riesgo Operativo se integra la Gestión de Riesgo Tecnológico;

0000379(versión 3) publicada 13/02/2017.

Manual Operativo: Metodología Regional para la Gestión de Riesgos Operativos en a 13/02/2017. presentada en comité de RO en

En 2017 se concluye la implementación de la metodología de Riesgo Tecnológico, basada en el marco

de Riesgo Tecnológico la realizamos utilizando un catálogo estándar de riesgos generales de


lecido por ISACA en su libro “COBIT 5


medición obteniéndose los


RESULTADOS DE LA EVALUACIONES EFECTUADAS A LA GESTIÓN DEL RIESGO TECNOLÓGICO Gestión de Riesgo Tecnológico se cuenta con un plan de trabajo que es

Todas las tareas se finalizaron al 100%. Los resultados corte diciembre 2017, se presentan a

Herramientas

SharePoint - Riesgo TI

11 |

La Gestión de Riesgo Tecnológico también es supervisada por el área de Auditoría Interna, los resultados de la evaluación 2017 son presentan a continuación: Informe DARC-BAC-22/2017, con fecha mayo 2017, relacionado al proyecto de auditoría: “Evaluación Norma NPB4-50 Gestión del Riesgo Operacional - TI” Objetivos de Auditoría:

a) Verificar cumplimiento de norma NPB4-50 “Normas para la Gestión del Riesgo Operacional de las Entidades Financieras”, en los artículos relacionados con Tecnología de Información.

b) Evaluar las gestiones realizadas por la Gerencia de Tecnología y la Unidad Integral de Riesgos (IUR)–RO.

Conclusión de auditoría: “B” satisfactoria.

C. RIESGO LEGAL

De acuerdo a la Normativa NPB4-50, Normas para la Gestión de Riesgo Operacional en las Entidades

Financieras, se entiende por Riesgo Legal la posibilidad de ocurrencia de pérdidas debido a fallas en la

ejecución de contratos o acuerdos, al incumplimiento de normas, así como a factores externos tales

como cambios regulatorios, procesos judiciales, entre otros.

La gestión de Riesgo Legal constituye un componente asociado a la gestión integral de riesgos cuya

valoración depende de las condiciones del marco regulatorio vigente y de los cambios en la normativa

por parte de las autoridades competentes.

En el 2017 con el propósito de describir las principales directrices para la implementación del Riesgo

Legal de BAC Credomatic a través de la Unidad Integral de Riesgos, se aprobó el Manual de Gestión

de Riesgo Legal, con el cual establecerá las acciones requeridas para la segunda línea de defensa esto

con la finalidad de disminuir la probabilidad de ocurrencia de consecuencias jurídicas negativas que

12 |

puedan poner en riesgo el patrimonio de la entidad, así como definir las áreas responsables de la

gestión de dicho riesgo, sus funciones dentro del proceso de evaluación, y el procedimiento a seguir.

De conformidad a lo establecido por acuerdo de Junta Directiva, los cuatro pilares de la gestión del

Riesgo Legal en el 2017 son los siguientes:

• Cumplimiento regulatorio (monitoreo de normas vigentes y futuras)

• Gestión del Riesgo Transaccional

• Manejo adecuado de litigios existentes y potenciales

• Manejo de aspectos corporativos (Gobierno Corporativo)

Se reconoce como dueño del riesgo legal a la Gerencia Legal del Grupo, la cual da cumplimiento al

acuerdo anterior, la Unidad Integral de Riesgos actúa como segunda línea de defensa dando

seguimiento a los principales indicadores a fin de trasladar una seguridad razonable de su

cumplimiento a los foros de Gobierno Corporativo correspondientes.

POLÍTICAS ACTUALIZADAS PARA LA GESTIÓN DEL RIESGO LEGAL

Entre las políticas asociadas a la gestión de Riesgo Legal que se encuentran publicadas en el Sistema de

Gestión de Calidad de la organización se incluyen:

I. Cumplimiento regulatorio

- Inventario regulatorio y matriz de CTC´s (CTC=Critical to compliance: requerimientos

legales de alto riesgo).

- Manejo de comunicaciones con entes reguladores y supervisores.

II. Manejo adecuado de litigios existentes y potenciales

- Verificar las matrices declaradas de riesgos asociados a litigios, juicios, condiciones

contractuales y otros aspectos legales.

- monitorear el cumplimiento de tiempos y alcances de las actividades realizadas.

III. Manejo de aspectos corporativos

- Código de Gobierno Corporativo.

- Opinión en Aprobación de proyectos de productos bancarios y crediticios.

- Lineamiento de obligaciones y responsabilidades de los accionistas de las sociedades del

Conglomerado financiero BAC-Credomatic.

- Procedimiento para cumplimiento de requerimientos de derechos de autor, privacidad y

comercio electrónico.

DESCRIPCIÓN DE LAS METODOLOGÍAS, SISTEMAS Y HERRAMIENTAS DESARROLLADAS PARA LA

GESTIÓN DE RIESGO LEGAL.

El proceso de gestión del Riesgo Legal incluye las siguientes metodologías, sistemas y herramientas:

RESULTADOS DE LA EVALUACIONES EFECTUADAS A LA GESTIÓN DEL RIESGO En 2017 Auditoría Interna hizo revisión integral de la Normativa Integral de Riesgos NPB4incluyendo hallazgos relacionados según detalle: Informe DARC-BAC-19-2017 Evaluación NPB4las Entidades Financieras, de fecha 15 de Abril de 2017 Objetivos: Evaluar el cumplimiento con los principales requerimientos establecidos en las Norma para la Gestión Integral de Riesgos en las Entidades Financieras Calificación obtenida: B- Satisfactoria.

Dentro de la gestión integral de riesgos, se incluye el posibilidad de pérdidas económicas o no económicas que afectan el prestigio de la entidad derivados de eventos adversos que trascienden a teincluye el Reputacional como uno de sus riesgos relevantes. 5.1 POLÍTICAS ACTUALIZADAS PARA LA GESTIÓN DE RIESGO

Existen diversas políticas asociadas a la gestión de Riesgo de reputación

por la Junta Directiva celebrada en Septiembre 2017.

- Lineamiento de la gestión del riesgo reputacional

- Lineamiento de Manejo de comunicación con Entes Reguladores

- Manual uso del Módulo de Comunicaciones de Entes Reguladores

- Lineamiento manejo de la comunicación con medios

- Lineamiento de Inventario regulatorio y matriz de CTC de BAC Credomatic

Metodologías

•Manual de Gestión Riesgo Legal

•Manual Operativo de CTC (Critical to Compliance)

RESULTADOS DE LA EVALUACIONES EFECTUADAS A LA GESTIÓN DEL RIESGO LEGAL

En 2017 Auditoría Interna hizo revisión integral de la Normativa Integral de Riesgos NPB4incluyendo hallazgos relacionados según detalle:

2017 Evaluación NPB4-47 Normas para la Gestión Integral de Riesgos de de fecha 15 de Abril de 2017

Objetivos: Evaluar el cumplimiento con los principales requerimientos establecidos en las Norma para ión Integral de Riesgos en las Entidades Financieras – NPB4-47

Satisfactoria.

5. RIESGO REPUTACIONAL

entro de la gestión integral de riesgos, se incluye el Riesgo Reputacional y está económicas o no económicas que afectan el prestigio de la entidad derivados

de eventos adversos que trascienden a terceros. La gestión integral de riesgos de BAC o uno de sus riesgos relevantes.

POLÍTICAS ACTUALIZADAS PARA LA GESTIÓN DE RIESGO DE REPUTACION

Existen diversas políticas asociadas a la gestión de Riesgo de reputación las cuales han sido aprobadas

celebrada en Septiembre 2017. Entre las políticas establecidas

Lineamiento de la gestión del riesgo reputacional

Lineamiento de Manejo de comunicación con Entes Reguladores

Manual uso del Módulo de Comunicaciones de Entes Reguladores

Lineamiento manejo de la comunicación con medios

Inventario regulatorio y matriz de CTC de BAC Credomatic

Sistemas

•Sistema de Información de Cumplimiento

•Módulo de Control de comunicaciones con entes reguladores y supervisores

Herramientas

•Repositorio consolidado para documentos legales

•Matrices Riesgo Operativo Gerencia Legal

•Matriz de Litigios

•Informes periódicos sobre Sesiones de comités de Gobierno Corporativo.

13 |

LEGAL

En 2017 Auditoría Interna hizo revisión integral de la Normativa Integral de Riesgos NPB4-47

47 Normas para la Gestión Integral de Riesgos de

Objetivos: Evaluar el cumplimiento con los principales requerimientos establecidos en las Norma para

y está definido como la económicas o no económicas que afectan el prestigio de la entidad derivados

ión integral de riesgos de BAC Credomatic

las cuales han sido aprobadas

políticas establecidas se incluyen:

Herramientas

Repositorio consolidado para documentos legales

Matrices Riesgo Operativo Gerencia Legal

Matriz de Litigios

Informes periódicos sobre Sesiones de comités de Gobierno Corporativo.

5.2 DESCRIPCIÓN DE LAS METODOLOGÍAS, SISTEMAS Y HERRAMIENTAS DESARROLLADAS PARA LA

GESTIÓN DEL RIESGO DE REPUTACIÓN

Se presenta a continuación el enfoque metodológico que se está implementando

riesgo reputacional a nivel de la Organización.

En resumen se explica bajo el siguiente detalle:

RESULTADOS DE LA EVALUACIONES EFECTUADAS A LA GESTIÓN DEL RIESGO TECNOLÓGICO Para el desarrollo de la Gestión de Riesgo evaluado por la oficina regional responsable del tema. En 2017 Auditoría Interna hizo revisión integral de la Normativa Integral de Riesgos NPB4incluyendo hallazgos relacionados según detalle: Informe DARC-BAC-19-2017 Evaluación NPB4las Entidades Financieras, de fecha 15 de Abril de 2017

Metodologías

• Lineamiento Gestión Riesgo Reputacional


GESTIÓN DEL RIESGO DE REPUTACIÓN.

Se presenta a continuación el enfoque metodológico que se está implementando para gestionar el

riesgo reputacional a nivel de la Organización.

En resumen se explica bajo el siguiente detalle:

RESULTADOS DE LA EVALUACIONES EFECTUADAS A LA GESTIÓN DEL RIESGO TECNOLÓGICO

Para el desarrollo de la Gestión de Riesgo Reputacional se cuenta con un plan de trabajo que es responsable del tema. Todas las tareas se finalizaron al 100%.

En 2017 Auditoría Interna hizo revisión integral de la Normativa Integral de Riesgos NPB4elacionados según detalle:

2017 Evaluación NPB4-47 Normas para la Gestión Integral de Riesgos de de fecha 15 de Abril de 2017

Sistemas

• Módulo de Control de comunicaciones con entes reguladores y supervisores

• Sistema de control de quejas.

Herramientas

• SIXPRO

• SharePoint Reputacional

• Matriz Riesgo Reputacional

• Informes periódicos sobre Sesiones de comités de Gobierno Corporativo.

14 |


para gestionar el

RESULTADOS DE LA EVALUACIONES EFECTUADAS A LA GESTIÓN DEL RIESGO TECNOLÓGICO

se cuenta con un plan de trabajo que es Todas las tareas se finalizaron al 100%.

En 2017 Auditoría Interna hizo revisión integral de la Normativa Integral de Riesgos NPB4-47

47 Normas para la Gestión Integral de Riesgos de

Herramientas

SharePoint - Riesgo Reputacional

Matriz Riesgo Reputacional

Informes periódicos sobre Sesiones de comités de Gobierno Corporativo.

15 |

Objetivos: Evaluar el cumplimiento con los principales requerimientos establecidos en las Norma para la Gestión Integral de Riesgos en las Entidades Financieras – NPB4-47 Calificación obtenida: B- Satisfactoria.

INFORME DE GESTIÓN INTEGRAL DE RIESGOS BANCO DE … · cumplimiento de las políticas, límites...

Documents

Transcript of INFORME DE GESTIÓN INTEGRAL DE RIESGOS BANCO DE … · cumplimiento de las políticas, límites...