Informe integral de riesgos - BAC Credomatic

INFORME DE GESTIÓN INTEGRAL DE RIESGOS BANCO DE AMÉRICA CENTRAL, S.A.

AÑO 2015

| 1 |

Tabla de contenido

I. ESTRUCTURA ORGANIZATIVA PARA LA GESTIÓN INTEGRAL DE RIESGOS ................................... 2

II. DETALLE DE LOS PRINCIPALES RIESGOS ASUMIDOS POR LAS ACTIVIDADES DE LA ENTIDAD ...... 3

1. RIESGO DE CRÉDITO ................................................................................................................. 4

2. RIESGO DE MERCADO ............................................................................................................... 5

3. RIESGO DE LIQUIDEZ ................................................................................................................. 6

4. RIESGO OPERACIONAL .............................................................................................................. 8

5. RIESGO TECNOLÓGICO ........................................................................................................... 10

6. RIESGO DE LAVADO DE ACTIVOS Y FINANCIACIÓN DEL TERRORISMO ..................................... 12

7. RIESGO REPUTACIONAL .......................................................................................................... 14

8. RIESGO LEGAL......................................................................................................................... 16

9. CONTINUIDAD DEL NEGOCIO .................................................................................................. 18

| 2 |

BANCO DE AMÉRICA CENTRAL, S.A. Miembro BAC | CREDOMATIC NETWORK

INFORME DE LA EVALUACIÓN TÉCNICA DE LA GESTIÓN INTEGRAL DE RIESGOS

AÑO 2015

I. ESTRUCTURA ORGANIZATIVA PARA LA GESTIÓN INTEGRAL DE RIESGOS

Estructura de Gestión de Riesgos a nivel de comites y areas involucradas

Continuidad

de Negocios

| 3 |

Estructura de Gestión, Gerencia Integral de Riesgos y Cumplimiento

II. DETALLE DE LOS PRINCIPALES RIESGOS ASUMIDOS POR LAS ACTIVIDADES DE LA ENTIDAD

• RIESGO DE CRÉDITO

• RIESGO DE MERCADO

• RIESGO DE LIQUIDEZ

• RIESGO OPERACIONAL

• RIESGO TECNOLÓGICO

• RIESGO DE LAVADO DE ACTIVOS Y FINANCIACIÓN DEL TERRORISMO

• RIESGO REPUTACIONAL

• RIESGO LEGAL

• RIESGO DE CONTINUIDAD DEL NEGOCIO

Gerente de Gestión Integral de Riesgos y

Cumplimiento

(1) + (5) + (21)

Riesgos Financieros

(1) + (2)

Riesgo de Crédito y Concentración

(1)

Riesgo de Mercado y Liquidez

(1)

Contraloría de Créditos

(1) + (3)

Analistas

(3)

Riesgo Operacional

(1) + (4)

Analistas de Riesgo Operacional

(4)

Oficina de Cumplimiento

(1) + (10)

Analistas de Detección y Análisis

(3)

Analista de Riesgos SARLAFT

(1)

Control y Prevención

(2)

Riesgo Legal

(1)

Analista Tecnológico de Cumplimiento

(1)

Analista de Segmentación y Cumplimiento

(1)

Asistente

(1)

Continuidad de Negocios y Gestión de

Riesgos

(1) + (2)

Analista de Riesgo Tecnológico y de Continuidad de

Negocios

(1)

Oficial de Seguridad de la Información

(1)

| 4 |

1. RIESGO DE CRÉDITO

El Riesgo de Crédito se define como el riesgo derivado de la incertidumbre de la capacidad del deudor frente a sus

obligaciones contractuales. Este surge cuando los flujos de caja comprometidos por préstamos y valores pueden no ser

pagados oportuna o totalmente según lo estipulado en el contrato, resultando así una perdida financiera para el banco.

El Departamento de Riesgos Financieros, mediante la Gestión de Riesgo de Crédito, se encarga del proceso de identificación,

medición, monitoreo, control y divulgación del Control de Riesgo de Crédito, en el conjunto de establecer los objetivos,

políticas, procedimientos y acciones establecidas por el banco para este propósito.

1.1. POLÍTICAS ACTUALIZADAS PARA LA GESTIÓN DE RIESGO DE CRÉDITO La Política de la Gestión de Riesgo de Crédito y Concentración fue aprobada por la Junta Directiva, y consta en Acta JD-

18/2012, celebrada el 12 de septiembre de 2012, tal como lo establece la NPB4-49 en el Artículo 4. La Junta Directiva, dando

cumplimiento al Artículo 7 literal d) de NPB4-47, aprobó dicha política, quedando en vigencia por tiempo indefinido.

El departamento de riesgos financieros tiene un manual donde se establecen los indicadores de concentración de cartera, asunción de riesgos, top de deudores y otros ratios de créditos. El documento engloba todos los procesos que se realizan para el cumplimiento de la gestión de riesgo de crédito. Una de las herramientas utilizadas para la evaluación de Riesgo de Crédito es la “Simulación de Escenarios de Estrés”, que se

lleva a cabo al menos cada seis meses, realizando una simulación de escenarios adversos en la Carteras Corporativas y

Carteras de Personas, incluida la tarjeta de crédito, dichas simulaciones son realizadas por la Dirección Regional. Asimismo, el

Departamento de Riesgos Financieros realiza las pruebas para la cartera hipotecaria de manera semestral. Los resultados son

expuestos a la Alta administración y las Unidades de negocio para que tomen en consideración tales resultados en sus

decisiones comerciales. Además, dicho análisis permite obtener una variedad de escenarios que facilitan al Banco desarrollar

y ajustar sus propuestas de negocio y establecimiento de políticas.

1.2. DESCRIPCIÓN DE LAS METODOLOGÍAS, SISTEMAS Y HERRAMIENTAS UTILIZADAS El proceso de otorgamiento de crédito se divide en dos áreas, una es el proceso para créditos de banca de persona y la otra es

créditos de empresas.

En banca de personas el proceso se desarrolla en una herramienta automática llamada Mantiz, en el work-flow de Mantiz se

integran tres motores, el de pre-valuación, buros (interno y Superintendencia del Sistema Financiero) y oferta comercial.

El otorgamiento de créditos de empresas se define por un instrumento que es el Memorándum de Crédito (MC). Una vez

originada la relación crediticia se le da seguimiento consistente en la actualización de sus estados financieros, sesiones,

valuos y visitas que permiten a la institución asegurar el cumplimiento de las obligaciones del cliente con el banco.

Para los créditos de banca de empresas, el cálculo de la provisión se realiza por medio del análisis de los estados financieros a

partir de los cuales se obtiene el índice “IRRBAC”, que establece un puntaje de acuerdo a la información suministrada, y este

se convierte en un CRR, el cual asigna una calificación a cada empresa que puede estar entre 1 y 9. A partir de esta calificación

se realiza la provisión para cada crédito.

Otra herramienta que se utiliza es el dashboard de concentración, mensualmente se mide la evolución de la exposición por

tipo de cartera y sector económico, para esto la Junta Directiva ha aprobado niveles máximos de tolerancia y se monitorea

para poder alertar a las áreas de riesgos y de negocio cuando la institución se está acercando o se han sobrepasado los

umbrales que han sido definidos como el apetito de riesgo.

| 5 |

1.3. RESULTADO DE LA EVALUACIÓN EFECTUADA A LA GESTIÓN DE RIESGO DE CRÉDITO Se han realizado evaluaciones por la Dirección Regional de Riesgos del Grupo para la aprobación y desarrollo de Políticas.

El área de auditoria interna realizo el informe DAISALBAC-12/2015 sobre la Evaluación NPB4-49 “Normas para la gestión del

riesgo crediticio y concentración de crédito” con fecha Agosto 20015.

Objetivo de la auditoria:

a) Evaluar las políticas y controles implementados para el cumplimiento de la Norma NPB4-49, emitida por la

Superintendencia del Sistema Financiero.

La calificación del informe es “B” Satisfactoria, esta se asigna a aquellas áreas o procesos en los cuales Auditoria interna

detecta que los controles son apropiados para mantener un nivel razonable de seguridad, la mitigación de riesgos esta en

cumplimiento con los objetivos del negocio, sin embargo se detectaron algunos puntos de mejora, a los cuales la

administración de riesgos les está dando seguimiento.

1.4. PROYECTOS ASOCIADOS A LA GESTIÓN DE RIESGO DE CRÉDITO A DESARROLLAR EN 2016 En cumplimiento con la gestión integral de riesgos se ha programado la implementación de diferentes indicadores y

herramientas que enriquezcan el análisis del riesgo crediticio en los diferentes portafolios entre ellos estas:

• Elaboración de cosechas de cartera.

• Evolución de mora.

2. RIESGO DE MERCADO

El Riesgo de Mercado se define como la posibilidad que el Banco incurra en pérdidas como resultado de los cambios en los

precios de mercado de los instrumentos financieros en que mantiene exposiciones dentro o fuera del balance.

Se estableció la siguiente estructura para la Gestión de Riesgo de Mercado, la cual fue aprobada en Junta Directiva, donde el

Departamento de Riesgos Financieros controla el riesgo, informando el desempeño y desviaciones, para efectos de generar

reportes e informes que se presentan en el Comité Integral de Riesgos.

2.1. POLÍTICAS ACTUALIZADAS PARA LA GESTIÓN DE RIESGO DE MERCADO La política de Gestión de Riesgo de Mercado fue aprobada en sesión 04/2014 celebrada el 14 de octubre de 2014, con vigencia a partir de esa fecha y fue ratificada en el Comité Integral de Riesgos en sesión 01/2016 celebrada el 22 de enero de 2016. La institución cuenta además con una Política de Inversiones a nivel regional que establece una serie de controles y parámetros que toman en cuenta la calificación y calidad de los emisores, límites específicos de inversión y la diversificación de los portafolios del grupo. Para el monitoreo y control de la gestión de riesgo de mercado se han identificado los límites establecidos en la “Política de liquidez e inversión local ” y la “Política de Gestión de Riesgo de Mercado” la cual se utiliza para la administración de las operaciones de la tesorería del banco.

2.2. DESCRIPCIÓN DE LAS METODOLOGÍAS, SISTEMAS Y HERRAMIENTAS UTILIZADAS El proceso de monitoreo y medición del riesgo se realiza a través del seguimiento de los procesos de ejecución y liquidación

de las negociaciones de los instrumentos de inversión, de esta manera el Middle Office en el proceso de inversiones, previo a

la autorización, se revisan las condiciones de la inversión y posterior a la negociación se verifica que la inversión se haya

cerrado y contabilizado de acuerdo a lo aprobado y se verifica la inclusión de la compra en el Módulo de Administración y

Control de la Cartera de Inversión.

| 6 |

Se verifica la aplicación de la política y se calcula el riesgo de tasa de interés en inversiones de portafolio y se realizan las

pruebas de stress. Los resultados se presentan de forma mensual en el Comité de Activos y Pasivos y en el Comité de

Administración Integral de Riesgo.

Además se utiliza el modelo de GAP de tasas para la medición de los activos y pasivos sensibles a cambios de tasas.

De los controles que se monitorean al observar una variación fuera de los límites establecidos por política se activan alertas

para las unidades y comités competentes.

Durante al año 2015 se realizó el monitoreo de las volatilidad de tasas la cual se calcula de acuerdo a 1, 2 y 3 desviaciones

estándar, con esto modelo se determina las tasas activas y pasivas mínimas y máximas de la semana del sistema y del banco,

esto se realiza con 84.1%, 97.7% y 99.9% nivel de confianza. El periodo observado para realizar las volatilidades de tasas es

de un año.

2.3. RESULTADO DE LA EVALUACIÓN EFECTUADA A LA GESTIÓN DE RIESGO DE MERCADO Como parte del plan de trabajo, en el presente ciclo se llevaron a cabo Auditorías para verificar la capacidad de los controles

creados para el buen funcionamiento del Middle-Office en las operaciones bursátiles.

La institución se encuentra comprometida con el cumplimiento de normativas y regulaciones por lo que se cumple con la Ley Sarbenes Oxley y uno de los principales controles que se tiene en la medición del riesgo de mercado es de carácter SOX, el cual ha sido aprobado por el Líder SOX para ser elaborado dentro de la Matriz de Tesorería que otorga responsabilidades específicas a la gestión integral de riesgos. Dicho control también ha sido evaluado por auditoria interna. El área de auditoria interna realizo el informe DAISALBAC-42/2014 y seguimiento Agosto 2015 sobre la Evaluación de

“Inversiones Financieras” con fecha Agosto 2015.


a) Evaluar la gestión de riesgos y controles implementados para administrar los procesos relacionados con las

inversiones financieras.

b) Evaluar la razonabilidad de los saldos contables de las inversiones financieras.

c) Evaluar el cumplimiento con las normas emitidas por la SSF, aplicables a las inversiones.

d) Evaluar el cumplimiento con las mejores prácticas de control interno y seguridad de la información divulgada por el

grupo AVAL.





2.4. PROYECTOS ASOCIADOS A LA GESTIÓN DE RIESGO DE MERCADO A DESARROLLAR EN 2016 Para el 2016 se ha establecido el cálculo del Valor en Riesgo de las inversiones por medio del modelo de Markowitz para dar

seguimiento a las distintas inversiones, permitiendo un mejor detalle de cada título y su descripción actualizada.

3. RIESGO DE LIQUIDEZ

La institución tiene como filosofía cumplir con sus obligaciones contractuales de tal manera que los acreedores puedan tener

acceso a sus recursos en el momento establecido. Para ello se han implementado herramientas que permiten medir la

volatilidad de los depósitos, suficiencia de reservas de liquidez y adecuado manejo de los fondos líquidos, para utilizarlos de la

manera más eficiente, tomando en cuenta los cambios en el entorno que pudieran dificultar la disponibilidad inmediata de

fondos.

3.1. POLÍTICAS ACTUALIZADAS PARA LA GESTIÓN DE RIESGO DE LIQUIDEZ Durante el año 2015, la Junta Directiva, dando cumplimiento al Artículo 7 literal d) de la NPB4-47 y al Artículo 5 literal b) de la

NRP-05, aprobó la actualización del Plan de Contingencia en sesión 21/2015 celebrada el 17 de noviembre de 2015 y el

| 7 |

Manual de Riesgos Financieros. El Plan establece los roles y responsabilidades ante un evento de contingencia, eventos que

activas el plan, fuentes de fondeo interna y externas como alternativa ante una eventual crisis, procedimientos para

administrar la crisis y canales de comunicación que deben utilizarse. Este plan ha tenido pruebas en los últimos dos años,

simulando un escenario controlado que busca medir el grado de preparación de los responsables de implementar el plan y la

forma en que abordarían una crisis de opinión publica generada por una corrida de fondos.

El departamento de riesgos financieros también cuenta con un manual que define los roles y responsabilidades en la toma

del riesgo, las acciones para mitigarlo y monitorearlo. También se establece la documentación y procedimientos, así como los

controles e indicadores.

3.2. DESCRIPCIÓN DE LAS METODOLOGÍAS, SISTEMAS Y HERRAMIENTAS UTILIZADAS Para medir el riesgo de liquidez se construyen Indicadores como el Calce de Plazos, Cálculo de las Reservas, Activos Líquidos,

Liquidez Intrames, modelo regional de liquidez, entre otros. En el aspecto de la medición al riesgo de liquidez en el corto,

mediano y largo plazo, se efectúan los siguientes análisis: el coeficiente de liquidez neta, cumplimiento de la reserva,

indicadores de liquidez legales, calculo y medición del riesgo de tasa de interés, evolución de los resultados de la liquidez por

plazos de vencimiento y la capacidad de respuesta en escenarios de estrés, volatilidad de depósitos, variación de depósitos,

concentración de depósitos y sectores, así como también el seguimiento de indicadores para la medición de la liquidez para la

casa de corredores de bolsa del grupo, Inversiones Bursátiles Credomatic.

La identificación del riesgo de liquidez consiste en un proceso que reconoce los factores de sensibilidad, que al presentar

comportamientos adversos, retardan o aceleran el ingreso o salida de fondos, impactando la liquidez. Se debe cuantificar el

riesgo de liquidez con el objeto de determinar el cumplimiento de las políticas, límites fijados, y medir el posible impacto

económico en los resultados financieros. Para efectos de mitigar el riesgo de liquidez se establecerán controles desarrollados

por la Gerencia de Planificación y Finanzas y el Departamento de Riesgos Financieros de la Gestión Integral de Riesgos.

Durante el año 2015 se presentaron los requerimientos de las Normas Técnicas para la Gestión del Riesgo de Liquidez NRP-

05, el cual consiste en un monitoreo mensual de la liquidez según las premisas elaboradas por la institución y especificaciones

emitidas por la SSF, el resultado de estos indicadores durante el año 2015 fue satisfactorio para la organización, tanto para el

modelo normal como el estresado.

3.3. RESULTADO DE LA EVALUACIÓN EFECTUADA A LA GESTIÓN DE RIESGO DE LIQUIDEZ

El área de auditoria interna realizo el informe DAISALBAC-26/2015 sobre la Evaluación NRP-05 “Normas técnicas para la

Gestión del riesgo de liquidez” con fecha Noviembre 2015.


a) Evaluar las políticas y controles implementados para el cumplimiento de la normativa NRP-05, emitida por la

Superintendencia del Sistema Financiero.





3.4. PROYECTOS ASOCIADOS A LA GESTIÓN DE RIESGO DE LIQUIDEZ A DESARROLLAR EN 2016 Los objetivos del plan de trabajo para el 2016 son:

- Elaboración de indicadores adicionales de liquidez como el HQLA local.

- Revisión integral de los documentos vigentes concernientes a la gestión del riesgo de liquidez.

| 8 |

4. RIESGO OPERACIONAL

4.1 POLITICAS ACTUALIZADAS PARA LA GESTION DE RIESGO OPERACIONAL

Para el año 2015 y con el propósito de llevar a cabo el proceso de revisión anual de dicha metodología en cumplimiento a lo

dispuesto por la “Normas para la Gestión del Riesgo Operacional de las entidades financieras (NPB4-50), en ese sentido se

expusieron los elementos de la Política y el Manual para la gestión de riesgo operacional, así como las herramientas

relacionadas a la identificación, mitigación, generación de indicadores, evaluación de ambiente, reporte de incidentes y

evaluación de las unidades funcionales, las cuales no presentaron ningún cambio en contenido.

La Gerencia de Gestión Integral de Riesgo y Cumplimiento por medio del departamento de Riesgo Operacional realiza un

seguimiento continuo del desempeño de la gestión y también consolida información para efectos de generar reportes e

informes para escalar en Comité de Riesgo, por tanto se tiene aprobada la estructura y recursos para la Gestión de Riesgo

Operacional por parte de Junta Directiva.

4.2 DESCRIPCION DE METODOLOGIAS, SISTEMAS Y HERRAMIENTAS

BAC| Credomatic El Salvador con el fin de gestionar el riesgo operativo fundamenta su gestión de riesgo operacional en la

reducción de vulnerabilidad y severidad de los riesgos a los que la organización pueda estar expuesta mediante el desarrollo

de un Ciclo de Gestión de Riesgo Operacional, que procura impulsar a nivel de toda la organización la cultura de prevención y

control de este riesgo.

En el presente ciclo, se llevaron a cabo reuniones, capacitaciones, comunicaciones de resultados, reporte de eventos e

incidencias de riesgo operacional a los dueños de unidad funcional como responsables directos, con el propósito de procurar

siempre los mejores resultados en base a plan de trabajo establecido, y siempre procurando disminuir la posibilidad de

pérdidas provocada por factores de riesgo operacional.

Se ha desarrollado una metodología que consiste en proporcionar a los participantes del proceso una guía de acciones a realizar donde se despliega los mecanismos y herramientas que comunican y sirven de referencia a los involucrados tener claro qué hacer, como realizarlo, a quien escalar, con el propósito de asegurar el cumplimiento de las diferentes directrices relacionadas a la gestión. Los principales pilares de la metodología de riesgo operacional que se encuentran aprobadas por Junta Directiva se tienen:

� Política de Gestión de Riesgo Operacional que proporciona las directrices generales, funciones y responsabilidades para la identificación, evaluación, control, monitoreo y reporte de los riesgos operativos que pueden afectar a la organización.

� Manual de Gestión de Riesgo Operacional incluye el desarrollo y despliegue de la Metodología aplicada para la Gestión de Riesgo Operacional.

� Formularios y/o herramientas de trabajo Insumos proporcionados a los gestores de riesgo operacional, que permiten la obtención de la información sobre los riesgos.

� Programas de Capacitación consiste en el despliegue y comunicación de la gestión al personal involucrado directamente en la gestión y a toda la organización para la adopción de cultura de prevención y control del riesgo operacional.

� Reportes y Comunicación tiene por objetivo escalar información sobre resultados del seguimiento de la gestión.

4.3 RESULTADO DE LA EVALUACIÓN EFECTUADA A LA GESTIÓN DE RIESGO OPERACIONAL

Del seguimiento y evaluación del Ciclo de Gestión de Riesgo Operacional se tiene un monitoreo constante, el comparativo de

Avance en la gestión de los cuatro periodos de Evaluación por Unidades Funcionales con entrega de resultados de forma

trimestral y con un entregable al cierre de ciclo, por lo que se puede apreciar el comportamiento y evolución en el logro de

cumplimiento por etapas.

Durante el año 2015 se tuvo una cultura de reporte de fallas por riesgo operacional, donde permitió el registro de 713

eventos de riesgo operacional, que formaron parte del sistema de evaluación y calificación del ciclo de gestión de riesgo

operacional. Para el cierre de dichos reportes se solicitaron realizar acciones de mitigación y/o cambios en los procesos tanto

| 9 |

en forma manual como sistemas para evitar que los eventos vuelvan a ocurrir, en la mayoría de casos no se registraron

pérdidas de riesgo operacional, sino exposiciones de pérdidas que pueden generar pérdidas económicas y pueden o no

afectar el estado de resultados.

El registro de reportes de eventos de riesgo es consolidado por compañías y procesos que ejecutan y se lleva un recuento de

forma mensual y por estatus de atención, donde se evidencia el compromiso de la gestión por parte de las gerencias y

unidades funcionales por área. A nivel de organización se trabajó en programa de capacitación dirigida especialmente a

preparar los enlaces de riesgo operativo, con el objetivo de certificarlos y facultarles en los conocimientos de reporte de

incidencias de riesgo operativo.

El perfil de riesgo operativo de BAC|CREDOMATIC El Salvador al cierre del año 2015 cuenta con 2,404 riesgos identificados en

los 180 procesos que la organización ejecuta; estos resultados son producto de la evaluación y calificación por parte de los

dueños de unidad funcional acorde a la metodología establecida, y está dada en términos de vulnerabilidad y severidad de los

riesgos con relación a los controles implementados que se llevan a cabo para evitar que los riesgos se materialicen.

En el 2015 los riesgos principales representaron un 24% del total de riesgos identificados, de los cuales se ha dado inicio a la

creación de planes de mitigación que comprenden oportunidades de mejora y/o rediseño en procesos, incorporación de

nuevos y/o modificación de controles existentes, documentación de nuevos y/o modificación de procedimientos, diseño de

métodos de atención a servicio al cliente, capacitación constante a colaboradores de los cambios realizados.

El área de auditoria interna realiza el informe DAISALBAC-37/2014 sobre la Evaluación NPB4-50 “Normas para la Gestión de

Riesgo Operacional de la Entidades Financieras” con corte a diciembre 2014 y entrega de informe el 12 de junio 2015.


a) Evaluar las políticas y controles implementados para el cumplimiento de la normativa NPB4-50, la calificación del

informe es “Requiere Mejoras”, esta se asigna a aquellas áreas o procesos en los cuales Auditoria interna detectó

que si hay controles definidos y en operación, pero se ven oportunidades para fortalecer los controles en aspectos

claves.

Año 2010 Año 2011 Año 2012 Año 2013 Año 2014 Año 2015

Procesos 115 128 160 227 227 180Riesgos 685 1,224 1,735 2,004 2,048 2,404

Riesgos críticos 105 234 470 503 500 501

Riesgos Cubiertos 433 450 318

Eventos e IRO 549 650 1,136 976 798 713

Unidades Funcionales 71 81 106 108 107 113

| 10 |

En atención a los resultados de dicha evaluación el departamento de Riesgo Operacional ha establecido la revisión de resultados de ejecución de control de riesgos principales que permita demostrar que están siendo efectivos de cara a las mediciones y evidencias de control establecidas por cada dueño de riesgo declarado.

4.4 PROYECTOS ASOCIADOS A LA GESTIÓN DE RIESGO DE OPERATIVO A DESARROLLAR EN 2016

Para el 2016 se tiene el compromiso de continuar trabajando en la gestión de riesgo operacional, para proporcionar a los

gestores de riesgo herramientas que faciliten la gestión y permitan seguir construyendo la cultura de riesgo operativo; dentro

de los principales proyectos se tiene:

� Llevar la gestión por procesos y no por unidades funcionales, bajo un enfoque de Gobierno de Procesos.

� Implementación de metodología de evaluación de controles que permita validar las acciones descritas en los

diferentes planes de mitigación de riesgos principales.

� Despliegue de herramienta de administración de riesgo que permita contar con un flujo de administración de todas

las etapas de ciclo de gestión de riesgo operacional.

� Integración de herramienta de reporte de incidentes con el resto de gestiones asociadas dentro de la entidad.

5. RIESGO TECNOLÓGICO

La Gestión de Riesgo Tecnológico tiene como principal objetivo la identificación sistemática de las amenazas y vulnerabilidades asociadas a componentes tecnológicos, que soportan los servicios críticos del negocio. Para lograrlo se establecen directrices corporativas para el análisis, desarrollo, implementación y mantenimiento de la gestión de Riesgo Tecnológico del Grupo Financiero BAC Credomatic (GFBC), coherentes con el plan estratégico de la organización.

Lo anterior en relación a las mejores prácticas definidas en las Normas para la gestión del riesgo operacional de las entidades

financieras (NPB4-50) y la Norma para la gestión integral de riesgos de las entidades financieras (NPB4-47).

Las etapas de la Gestión de Riesgo Tecnológico se presentan a continuación:

5.1 POLÍTICAS ACTUALIZADAS PARA LA GESTIÓN DE RIESGO TECNOLÓGICO

En cumplimiento a lo dispuesto en el art. 6 de la “Norma de Gestión de Riesgo Operacional NPB4-50”, se cuenta con una

Política para la Gestión de Riesgo Tecnológico, la cual tiene aplicabilidad al conglomerado Inversiones Financieras Banco de

América Central, S.A., IFBAC: Banco de América Central, S.A., Credomatic de El Salvador, S.A. de C.V, Inversiones Bursátiles

Credomatic, S.A. de C.V., BAC Leasing, S.A. de C.V.

Establecimiento del contexto de riesgo

tecnológico

Identificación y evaluación de riesgos

tecnológicos

Definición y Seguimiento de Indicadores de

riesgos tecnológicos

Respuesta y Seguimiento a los riesgos tecnológicos

| 11 |

Así mismo, siendo parte del Grupo Financiero BAC | Credomatic Network que opera a nivel regional, requiere que la

administración cumpla con las regulaciones locales, así como también con la alineación al Lineamiento de Riesgo Operativo

Regional, L-CORP-Gestión de Riesgos Operativos –REG-0000031.

5.2 DESCRIPCIÓN DE LAS METODOLOGÍAS, SISTEMAS Y HERRAMIENTAS UTILIZADAS Las metodologías aprobadas están documentadas y publicadas en el repositorio oficial del conglomerado, según se detalla a

continuación:

• Manual Metodología Regional para la Gestión de Riesgo Tecnológico, el cual contiene los siguientes capítulos para su aplicación: I - Estándar Regional para la Identificación y Evaluación de Riesgos Tecnológicos

II - Estándar regional para la creación de planes de mitigación y seguimiento de riesgos tecnológicos

• Manual Operativo para Gestión de Riesgos Operativos del grupo BAC|Credomatic El Salvador, del cual aplican principalmente los siguientes capítulos:

Capítulo 4: Estándar para la Identificación, Evaluación y Monitoreo de Riesgos Operacionales.

Capítulo 6: Estándar para la Creación de Planes de Mitigación y Seguimiento de Riesgos Operacionales.

1) Riesgo Operativo de TI: Gestión de Riesgos en los Procesos La metodología empleada para la gestión de riesgos operativos se desarrolla sobre la base de los procesos pertenecientes a la

Gerencia de Sistemas. Se evalúa y se gestionan los riesgos en base a las mejores prácticas (CobIT), procesos definidos por la

organización, lineamientos y procedimientos.

A continuación se presenta el resumen de los resultados de la gestión en 2015, los cuales fueron identificados por las

jefaturas del área considerando su criterio experto.

RESUMEN DE CICLO DE RIESGO OPERATIVO EN TI CORTE AL 31 DE DIC 2015

UNIDADES FUNCIONALES RIESGOS

IDENTIFICADOS RIESGOS

PRINCIPALES PLANES DE

MITIGACION

OPERACIONES DE SISTEMAS 34 10 8

DESARROLLO DE SISTEMAS 43 14 10

SEGURIDAD DE SISTEMAS 42 9 3

INFRAESTRUCTURA DE TI 44 14 13

ADMINISTRACION DE SERVICIOS DE TI 24 3 1

GERENCIA DE SISTEMAS 7 1 1

TOTAL 194 51 36

Nota: Algunos planes de mitigación cubren más de un riesgo principal.

2) Riesgo Tecnológico : Gestión de Riesgos en los componentes tecnológicos de los Servicios críticos

El alcance de la gestión de riesgos tecnológicos para BAC|CREDOMATIC se basa en los servicios que la organización ha

definido como críticos, por lo que se busca atender los riesgos asociados a los componentes tecnológicos relacionados. A

continuación el resumen de dicha gestión para Banco de América Central en el año 2015:

| 12 |

RESUMEN DE CICLO DE RIESGO TECNOLOGICO DE LOS SERVICIOS CRÍTICOS CORTE AL 31 DE DIC 2015

SERVICIOS CRÍTICOS RIESGOS

IDENTIFICADOS RIESGOS CRÍTICOS

RIESGOS ALTOS

RIESGOS MEDIOS

RIESGOS BAJOS

PLANES DE MITIGACION

DEPOSITOS BANCARIOS 97 2 9 73 13 11

RETIROS BANCARIOS 97 1 10 73 13 11

PPP 16 10

RECEPCION PAGOS PRESTAMOS 19 3

5.3 PROYECTOS ASOCIADOS A LA GESTIÓN DE RIESGO TECNOLÓGICO A DESARROLLAR EN 2016

Las principales metas a desarrollar para cumplir con iniciativas regionales relacionadas con la Gestión de Riesgo Tecnológico

son:

• Despliegue de la herramienta SIXPRO, para control de la Gestión de Riesgo Tecnológico

• Despliegue y transición de la gestión basado en el estándar CobIT 5.0

6. RIESGO DE LAVADO DE ACTIVOS Y FINANCIACIÓN DEL TERRORISMO

El Banco América Central mantiene su compromiso de administrar el riesgo de lavado de activos y financiamiento del terrorismo, a fin de prevenir, detectar y controlar la utilización de nuestros productos y servicios para el movimiento de fondos provenientes de actividades ilícitas. Dentro de las actividades realizadas por la Gerencia de Cumplimiento durante 2015 están: a) Actualización del Manual SARLAFT. Se realizaron actualizaciones a nuestro Manual del Sistema de Administración de Riesgos de Lavado de Activos y Financiamiento al Terrorismo con el fin de robustecer los controles y actualizar las políticas aplicadas, también definir tareas y responsabilidades a desarrollar por las diferentes áreas. b) Plan de Capacitación El plan de capacitación se desarrolló de forma exitosa, la primera fase fue de forma virtual a través de Skillport con la participación del personal, adicionalmente, se desarrollaron una serie de capacitaciones presenciales dirigidas a toda la organización, incluyendo la Junta Directiva, grupo gerencial, áreas de negocio y a nuestros agentes de pago de remesas. c) Monitoreo de operaciones En el área de Monitoreo se gestionaron alertas tanto para áreas de negocio como para el área de Cumplimiento, además se dio seguimiento a los filtros aplicados por el área de negocio. También los analistas de detección ejecutaron monitoreo mediante bases de transacciones para evaluar y mitigar los riesgos de LAFT. d) Visitas a áreas de riesgo. Se realizaron visitas a las áreas de riesgo identificadas, para evaluar la aplicación y efectividad de los controles y procedimientos relacionados al SARLAFT. Durante este mismo año, se ha implementado y calibrado una serie de herramientas tecnológicas para el control, detección y monitoreo de transacciones, y se ha establecido una metodología de reporte a Junta Directiva, Comité de Cumplimiento y los entes reguladores. e) Respuestas a entes reguladores Se dio seguimiento a las respuestas de entes reguladores, en el segundo semestre de 2015 se incrementaron los requerimientos de información en dicha función por lo que se han solicitado desarrollo tecnológico y accesos a información a fin de proveer en tiempo la información solicitada por el ente fiscalizador.

| 13 |

f) Desarrollo de reportes electrónicos Se inició el desarrollo de los reportes electrónicos para enviar a la Unidad de Investigación Financiera, reportes de las operaciones iguales o mayores a $10,000 en efectivo, y los formularios por operaciones por cualquier otro medio igual o mayores a $25,000 g) Comités de Expertos Durante el año 2015 se desarrollaron reuniones de comité de expertos de forma trimestral con el propósito calificar los riesgos detectados por probabilidad e impacto a través del criterio experto de los asistentes y se evaluó la efectividad de los controles establecidos para mitigar los riesgos y evitar que al no cumplirse estos generen pérdidas potenciales para la institución, en las fechas 15 de Enero, 17 de abril, 17 de septiembre y 17 de diciembre de 2015. h) Segmentación estadística. Como institución financiera, BAC|Credomatic debe gestionar los riesgos inherentes a la naturaleza de sus operaciones, servicios y productos. Entre los riesgos más críticos se presentan el Lavado de Activos y el Financiamiento al Terrorismo. Para combatirlos, el grupo debe de adoptar las tecnologías, metodologías y buenas prácticas recomendadas y/o exigidas por la regulación nacional e internacional. La segmentación de factores de riesgo aporta una nueva visión de la problemática fusionando los procedimientos estadísticos y de minería de datos con la experiencia acumulada por el Grupo durante toda su trayectoria en sistema financiero local y regional. Regularmente se escucha el término Segmentación en el mundo del marketing, sin embargo la Superintendencia Financiera de Colombia, por medio del numeral 4.2.2.2.2 de su normativa, ha orientado esta técnica para convertirla en una herramienta anti lavado. La definición que adopta es la siguiente: "Es el proceso por medio del cual se lleva a cabo la separación de elementos en grupos homogéneos al interior de ellos y

heterogéneos entre ellos. La separación se fundamenta en el reconocimiento de diferencias significativas en sus características

(variables de segmentación)".

Cabe entonces preguntarse, ¿Quiénes o cuáles son los individuos que forman los grupos resultantes de dicho proceso? La respuesta es que, en cumplimiento con la NRP-08 emitida por el Banco Central de Reserva, la segmentación se aplica a cuatro dimensiones o factores de riesgo: Jurisdicción, Canales, Productos y Clientes. Las agrupaciones formadas por el proceso de segmentación surgen de un análisis exploratorio de las variables utilizadas para describir a los grupos. En el año 2015, BAC | Credomatic comenzó el proceso de Segmentación bajo el esquema CRISP-DM, una metodología de minería de datos compuesta de 6 etapas iterativas que permiten explotar la información almacenada en nuestras bases de datos . Durante todo el año se trabajó en el desarrollo de las etapas como se describe a continuación: Comprensión del Negocio: En esta etapa se establecieron los objetivos a alcanzar al final del proyecto. Se formaron los equipos de trabajo regionales y locales compuestos por colaboradores expertos en las diferentes áreas involucradas. Se diseñó un plan de trabajo y se dotó de los recursos humanos, tecnológicos y metodológicos necesarios. Comprensión de los datos: Se realizó un recopilación de datos dentro de las fuentes disponibles, tanto internas como externas con el fin de entenderlos, explorarlos y auditar su calidad para verificar qué variables generarían un mayor aporte al proyecto. Preparación de los datos: Una vez seleccionadas las variables se procedió a resumir todos los datos en bruto en una tabla que permitiera realizar el análisis exploratorio por cada una de las perspectivas de los 4 factores de riesgo. A esta tabla resumen se denomina dataset o dataframe. Modelado: El dataframe es el insumo principal para esta etapa. A este se le aplican los diferentes métodos de minería de datos existentes para la formación de clúster o segmentos (Comúnmente se utilizan los algoritmos de clustering jerárquico y no jerárquico). Se seleccionaron los métodos que cumplían con los criterios de evaluación pertinentes. Evaluación: El comité de expertos designados para el proyecto discutió los resultados obtenidos validándolos según su experiencia y análisis. Se procedió a realizar las correcciones y mejoras requeridas y se volvieron a correr modelos cuando fue necesario hacerlo. Despliegue: Una vez validados los resultados se procede a dar mantenimiento a los modelos y explotarlos usando los análisis generados para la toma de decisiones dentro de la organización. El proceso de segmentación no es lineal, sino un ciclo continúo de mejora. Los modelos deben monitorease debido a los cambios constantes de los comportamientos en los factores de riesgos contemplados en el análisis. Proyectos en Segmentación 2016 Actualmente BAC|Credomatic está trabajando en la segunda versión del proyecto. Se ha realizado el análisis FODA de la primera entrega con el propósito de identificar los principales puntos de mejora.

| 14 |

Las modificaciones más importantes que pueden mencionarse son: a) Se desarrollará una manera más intuitiva de interpretar los resultados. El producto final de la segmentación serán matrices de dos ejes sobre los cuales se ubicarán los individuos analizados. Un eje servirá para representar su nivel de impacto (montos transaccionales) y el otro para representar el nivel de riesgo. Ambos ejes en escala de 1 a 5, siendo 5 los valores de mayor impacto y mayor riesgo. b) Cambio de fuente de datos principal; a partir de este año se usará como fuente directa el core bancario. c) Inclusión de nuevas variables que aporten valor al análisis, se han incluido variables que pueden relacionarse con el lavado de dinero. d) Cambios sustanciales en los métodos de modelados; se comenzará a implementar modelos bi-etápicos, es decir de dos etapas. e) Adicionalmente se trabajará con herramientas tecnológicas que permiten examinar los resultados obtenidos de manera efectiva y eficiente generando representaciones visuales que permitan resumir en una sola vista los resultados importantes de la segmentación. Todos estos cambios afinan el proceso y brindan una nueva herramienta que permite realizar un análisis más amplio que ayude en la toma de decisiones pertinentes al combate contra el Lavado de Activos y Financiamiento al Terrorismo integrándola a los sistemas de monitoreo utilizados actualmente.

7. RIESGO REPUTACIONAL

La reputación vista como un conjunto de percepciones y expectativas de los grupos de interés (externos e internos) que para

la gestión del riesgo reputacional de BAC|Credomatic se catalogan en: Clientes, entes reguladores, empleados, proveedores e

intermediarios, accionistas, comunidad/sociedad) es el resultado del comportamiento desarrollado por la empresa a lo largo

del tiempo. Es por ello que dentro de la gestión integral de riesgos, se incluye el Riesgo Reputacional definido como la

posibilidad de pérdidas económicas o no económicas que afectan el prestigio de la entidad derivados de eventos adversos

que trascienden a terceros, en ese sentido la Gestión del riesgo reputacional efectuado en la empresa es el enfoque

estructurado para evitar la ocurrencia o mitigar las consecuencias de estos eventos.

7.1 POLÍTICAS ACTUALIZADAS PARA LA GESTIÓN DE RIESGO REPUTACIONAL

Existen diversas políticas asociadas a la gestión de Riesgo de reputación las cuales han sido aprobadas por la Junta Directiva y

ahora también podrán ser aprobadas por el Comité de la Administración Integral de Riesgos en virtud a lo dispuesto en el

artículo 14 de las N-PB4-48 Normas de Gobierno Corporativo para las Entidades Financieras y las Normas para la Gestión

Integral de Riesgos de las Entidades Financieras NPB4-47, en el artículo 9 literal b.

Entre las políticas establecidas durante el año 2015 se incluyen:

- Lineamiento manejo de la comunicación con medios

- Revisión de promociones, nuevos productos y servicios (Aprobación de proyectos de productos bancarios y

crediticios).

- Lineamiento corporativo de atención al cliente

- Lineamiento para compartir mejores prácticas

- Manual del Sistema de Gestión Ambiental

- Lineamiento de comunicación interna y externa ambientales

- Política para la desvinculación de clientes BAC Credomatic

| 15 |

7.2 DESCRIPCIÓN DE LAS METODOLOGÍAS, SISTEMAS Y HERRAMIENTAS DESARROLLADAS PARA LA

GESTIÓN DEL RIESGO DE REPUTACIÓN.

7.4 PROYECTOS ASOCIADOS A LA GESTIÓN DE RIESGO DE REPUTACIÓN

Para el año 2016 en cuanto a la gestión de riesgo de reputación se tiene proyectado desde dos ejes principales, una

perspectiva regional y una perspectiva local.

Prioridad 1. En cuanto a la “Orientación al cliente” se aseguró el cumplimiento de los siguientes objetivos: 1. Se cuenta con una estructura de apoyo en temas de servicio y transparencia a través de la Gerencia de Servicio al

Cliente.

2. Existe una estructura de apoyo (facilitadores internos-para el desarrollo de cierre de brechas en el modelo de

gestiones) a través de la Gerencia de Servicio al Cliente.

3. La existencia de un proceso para dar seguimiento a las denuncias interpuestas por los clientes ante los reguladores,

a través del área de Servicio al Cliente y Transparencia.

4. La existencia de un proceso para la atención de reclamos y redes sociales en aras de asegurar la protección al

consumidor.

5. Revelación de resultados de Imagen Reputacional ante los Reguladores, a través de la Gerencia de Servicio al

Cliente.

Asimismo, se realizaron algunas tareas orientadas a promover la agilidad en los trámites de la institución mediante el uso de servicios electrónicos y reducir el tiempo de espera en agencias.

Prioridad 2. Sobre el tema de “Ciudadanía”, el trabajo se destinó a visibilizar a BAC|CREDOMATIC como una entidad que invierte en causas sociales y fomenta la educación financiera. En el primer punto, se llevó a cabo una gestión de comunicación del Programa Dona Tu Vuelto a través de redes sociales y medios tradicionales. Dicho programa consiste en una suscripción que permite a los tarjetahabientes destinar el remanente de sus compras ajustadas al próximo dólar a una fundación previamente seleccionada de acuerdo a las opciones ofrecidas por BAC|CREDOMATIC. En cuanto al fomento de la Educación Financiera, se llevaron a cabo las siguientes actividades:

1. Consejos Financieros en Redes Sociales

2. Promover el ingreso al sitio web www.mipresupuestovirtual.com, como una plataforma disponible para organizar

las finanzas de nuestros colaboradores.

3. Promoción de la nueva página de educación financiera

Prioridad 3. La “Solidez” no sólo significa un elemento integrador de la estrategia de gestión del riesgo de reputación, sino la importancia de divulgar las actividades que permiten posicionar a la Compañía como una entidad comprometida con su entorno. A efecto de cumplir con lo anterior, se destinaron esfuerzos para comunicar iniciativas de Responsabilidad Social Corporativa mediante la convocatoria permanente a conferencias de prensa para lanzamientos, promociones y novedades.

Prioridad 4. Sobre la prioridad relacionada a “Innovación” se promovió a BAC|CREDOMATIC como una entidad que se anticipa a la competencia y se promovió el uso de nuevos productos mediante servicios móviles y aplicaciones como:

1. Promo Zone: plataforma virtual que permite a nuestros comercios afiliados actualizar promociones en línea disponibles para nuestros clientes.

2. Recarga Cel: servicio que permite realizar recargas de celulares mediante envío de mensajito y se descuenta al saldo

del tarjetahabiente.

| 16 |

8. RIESGO LEGAL

La gestión de Riesgo Legal constituye un componente asociado a la gestión integral de riesgos cuya valoración depende de las

condiciones del marco regulatorio vigente y de los cambios en la normativa por parte de las autoridades competentes. Por tal

razón podemos clasificar el Riesgo Legal en dos categorías:

(i) Riesgo Legal por vía directa: posibilidad de pérdidas debido al incumplimiento de la legislación que regula los

servicios y contratos financieros o la imposibilidad de exigir el cumplimiento de los contratos por la vía legal; y

(ii) Riesgo Legal por vía indirecta: riesgo de cambio del marco regulatorio por parte de las autoridades

gubernamentales competentes (a nivel local, nacional o internacional) en forma que afecte adversamente la

posición de la entidad financiera.

8.1 POLÍTICAS ACTUALIZADAS PARA LA GESTIÓN DEL RIESGO LEGAL

De conformidad a lo establecido por acuerdo de Junta Directiva, los cuatro pilares de la gestión del Riesgo Legal son los

siguientes:

• Cumplimiento regulatorio (monitoreo de normas vigentes y futuras)

• Gestión del Riesgo Transaccional

• Manejo adecuado de litigios existentes y potenciales

• Manejo de aspectos corporativos (Gobierno Corporativo, Control de poderes, Propiedad intelectual)

Entre las políticas asociadas a la gestión de Riesgo Legal que se encuentran publicadas en el sistema interno de calidad de la

organización se incluyen:

I. Cumplimiento regulatorio

- Inventario regulatorio y matriz de CTC´s (CTC=Critical to compliance: requerimientos legales de alto riesgo).

- Manejo de comunicaciones con entes reguladores y supervisores.

- Manual de Manejo de expedientes (Requisitos de apertura de productos)

II. Gestión del riesgo transaccional

- Lineamiento de Apertura de Cuentas de ahorro y corriente.

- Lineamiento para la Apertura de Certificado de depósito a plazo.

- Lineamiento para la recepción de cheques del exterior.

- Lineamiento para el otorgamiento de créditos de consumo.

- Manual para el otorgamiento de tarjetas de crédito.

- Lineamiento para solicitud, creación y liquidación de préstamos con el exterior

III. Manejo adecuado de litigios existentes y potenciales

| 17 |

- Procedimiento para atender riesgos asociados a litigios, juicios, condiciones contractuales y otros aspectos

legales.

- Procedimiento para monitorear el cumplimiento de tiempos y alcances de las actividades realizadas.

- Manual para la entrega de documentos legales para iniciar juicios.

- Manual sobre embargo de bienes.

- Manual para el traslado de vehículos que quedan en calidad de depósito judicial.

- Manual para adjudicaciones en pago.

IV. Manejo de aspectos corporativos

- Código de Gobierno Corporativo.

- Aprobación de proyectos de productos bancarios y crediticios.

- Lineamiento de obligaciones y responsabilidades de los accionistas de las sociedades del Conglomerado

financiero BAC-Credomatic.

- Procedimiento para cumplimiento de requerimientos de derechos de autor, privacidad y comercio electrónico.

8.2 DESCRIPCIÓN DE LAS METODOLOGÍAS, SISTEMAS Y HERRAMIENTAS DESARROLLADAS PARA LA

GESTIÓN DE RIESGO LEGAL.

El proceso de gestión del Riesgo Legal incluye las siguientes metodologías, sistemas y herramientas:

1. Repositorio consolidado para documentos legales: constituye una unidad de red conacceso restringido donde se resguarda información electrónica de documentosmercantiles, actas de comités de Gobierno Corporativo e información generalrelacionada con las sociedades y los accionistas del grupo financiero a nivel local.

2. Sistema de Información de Cumplimiento: Constituye una plataforma para el envíode consultas por parte de las áreas de negocio y otras áreas de control que permiteemitir opinión sobre consultas relacionadas con lanzamientos de promociones, nuevosproductos o servicios, modificaciones a contratos, y consultas sobre requisitos deapertura de cuentas previo a la celebración de los contratos de apertura de productosbancarios, entre otros.

3. Módulo de Control de comunicaciones con entes reguladores y supervisores:constituye una herramienta que consolida las solicitudes y requerimientos recibidos enla entidad por parte de los reguladores y supervisores y permite su distribuciónmediante notificación electrónica a los correos de las áreas encargadas de su gestiónpara su oportuna respuesta.

4. Informes periódicos sobre Sesiones de comités de Gobierno Corporativo: se realizauna revisión trimestral a la información de las sesiones de Comités de Gobiernocorporativo con la finalidad de identificar puntos de mejora en relación a aspectoscomo: envío de convocatorias, cumplimiento de la periodicidad, asistencia de losmiembros, claridad en la redacción de las actas y cumplimiento de funciones, entreotros.

5. Actualización de información de Gobierno Corporativo en sitio web: en cumplimientoa lo establecido en el Art. 23 de las NPB 4-48, se realiza un monitoreo periódico de lainformación que se debe incorporar al sitio web en el apartado de GobiernoCorporativo, para mantener un registro actualizado de la misma y/o notificar a las áreas

encargadas para gestionar su actualización.

| 18 |

8.3 PROYECTOS ASOCIADOS A LA GESTIÓN DE RIESGO LEGAL

Los proyectos para la gestión de Riesgo Legal en el período 2016 consisten en mantener el monitoreo de los nuevos

productos y servicios de la entidad mediante el Sistema de Información de Cumplimiento, dar seguimiento a la efectiva

respuesta de Oficios y requerimientos de información por parte de las autoridades competentes y los entes reguladores y a la

gestión de Gobierno Corporativo de las diferentes entidades del grupo financiero. Además de ello se realizará una revisión de

las políticas existentes para verificar la validez de todos los contratos, addendums y actos jurídicos que emite la entidad en

consistencia a lo establecido en el artículo 15 de la NPB4-50 Normas para la Gestión del Riesgo Operacional de las Entidades

Financieras.

9. CONTINUIDAD DEL NEGOCIO

Gestión de Continuidad de Negocios.

Los planes de Continuidad de Negocios están documentados y disponibles para el personal correspondiente en el Manual

Operativo Local “Plan de Continuidad del Negocio GFBC”, donde se establece para cada servicio crítico, según el alcance de

Continuidad de Negocios aprobado, la siguiente estructura de control:

• Identificación de eventos de riesgos.

• Control de registros y documentación.

• Control de cambios y versiones.

• Vigencia y aprobación

9.1 POLÍTICAS ACTUALIZADAS PARA LA GESTIÓN DE CONTINUIDAD DEL NEGOCIO

La Política de Continuidad de Negocios se encuentra disponible a todas las empresas del conglomerado Inversiones

Financieras Banco de América Central, S.A. IFBAC: Banco de América Central, Credomatic de El Salvador,

Inversiones Bursátiles Credomatic, S.A. de C.V., BAC Leasing, S.A. de C.V.

Adicionalmente se cuenta con una Política de Continuidad de Negocios que aplica regionalmente a todos los miembros de

BAC Credomatic Network, la cual fue aprobada en sesión JD-07/2015 de La Junta Directiva a fin responder de forma unificada

a la visión del Grupo, sin perjuicio de los requerimientos locales de nuestra Legislación.

Alcance de Continuidad de Negocios

1.1 Alcance a nivel de Conglomerado:

Aplica a todas las empresas del conglomerado IFBAC: Banco de América Central, Credomatic de El Salvador, Inversiones

Bursátiles Credomatic, S.A. de C.V., BAC Leasing, S.A. de C.V.

1.2 Alcance a nivel de Servicios Críticos:

• Banco de América Central: Pago de Retiros, Recepción de Depósitos, Recepción de pagos de préstamos BAC, Desembolsos de Créditos Banca de personas y Banca de Empresas, Cobranza BAC, Pago de Planillas y Proveedores, Transferencias/SEC, Compensación Interbancaria, Reportería financiera/ Cierre contable diario Banco

• Credomatic de El Salvador: Autorizaciones, Recepción de pagos de tarjeta de crédito, Pago a Comercios Afiliados, Cobranza Credomatic y Remesas Credomatic.

• Inversiones Bursátiles Credomatic: Recepción de Depósitos y Pago de Retiros.

Aprobado por Comité de Riesgo Operativo en sesión desarrollada en el mes de mayo 2015 y ratificado por los miembros de

Junta Directiva en sesión de septiembre 2015.

Visibilidad de la Gestión de Continuidad de Negocios y Compromiso de la Alta Gerencia.

Como parte del compromiso de la Alta Gerencia se designa como responsable de la política de Continuidad de Negocios y

puesta en práctica de la Gestión de Continuidad de Negocios a la Jefatura de Continuidad de Negocios y Gestión de Riesgos.

Asimismo, se confirman los foros para la presentación de resultados de dicha gestión, según periodicidad establecida en el

Código de Gobierno Corporativo:

| 19 |

• Administración Superior: Continuidad del Negocio participa en los Comités de Riesgo Operativo,

• Junta Directiva: Continuidad del Negocio se presenta a través del Gerente de Gestión Integral de Riesgos y

Cumplimiento.

El Comité de Riesgo Operativo celebrado en Marzo 2015 ratificó que la ejecución de la Gestión se realice en tres áreas y

designando a los responsables de su ejecución:

• Gestión de Continuidad de Negocios GNC: Rocío de Menjívar, Jefe de Continuidad de Negocios y Gestión de Riesgos.

• Plan de Emergencias: Álvaro Flamenco, Gerente de Recursos Humanos • Continuidad de Tecnología: Marco Gamero, Gerente de Sistemas.

9.2 DESCRIPCIÓN DE LAS METODOLOGÍAS, SISTEMAS Y HERRAMIENTAS UTILIZADAS La Gestión de Continuidad de Negocios está siendo desarrollado en base a las mejores prácticas del estándar del BSI 25999 y

el estándar internacional ISO 22301:2012, "Societal security -- Business continuity management systems --- Requirements",

(Currently in development). Este último en proceso de implementación.

Se presenta a continuación el esquema que dicho estándar recomienda:

Al cierre del año 2015, la Gestión de Continuidad de Negocios, de acuerdo a evaluación realizada por la Gerencia Regional de

Excelencia Operativa de BAC| CREDOMATIC Network. Se anexan resultados correspondientes al ejercicio 2015, siendo el

puntaje obtenido: 100%

Detalle a continuación:

9.3 RESULTADO DE LA EVALUACIÓN EFECTUADA A LA GESTIÓN DE CONTINUIDAD DEL NEGOCIO

El área de auditoria interna realizó el informe DAISALBAC- 10/2014 - Plan de Continuidad de Negocio con fecha 15 de Agosto de 2014 y Seguimiento a Enero 15 Objetivos de Auditoría:

a) Evaluar el modelo de análisis de riesgo utilizado por continuidad de negocio para la definición de los niveles de criticidad de servicios, y la alineación de los planes DRP (2R) de TI. b) Evaluar el desarrollo, implementación y mantenimiento (mejoras) de los planes de contingencia de TI.

CN- El Salvador

100 100 100 100 100 97 100 100 100 100 100 100

2% 100

56% 100 100 100 100 100 98 100

7% 100 50 100

16% 100 100 100 100 100 100 100 100 100 100

3%

13% 100 100 100 100 100 100 100 100 100 100 100 100

3% 100 100 100 100 100 100 100 100 100 100

AGO SET OCT NOV DICJULENE FEB MAR ARB MAY JUN

Calificación Global

Realizar análisis GAP en Gestión de

Continuidad

Aplicación de BIA´s Locales

Programa de pruebas

Gestión de Incidentes

Concientización y Capacitación

Prueba de recorrido

Atención al cronograma de actividades anual

con la oficina regional.

| 20 |

c) Evaluar los programas de concientización y capacitación del personal que participa en los planes de recuperación de TI. d) Evaluar que la estrategia integral de recuperación del servicio de TI, documentada en el plan 2R, haya sido implementada de acuerdo con los requerimientos y las necesidades del negocio de continuidad de sus servicios. e) Evaluar la estrategia y documentación de los planes de pruebas de recuperación del servicio f) Evaluar la estrategia de comunicación de crisis y coordinación con dependencias externas.

La calificación del informe es “B” Satisfactoria, esta se asigna a aquellas áreas o procesos en los cuales Auditoria Interna detecta que los controles son apropiados para mantener un nivel razonable de seguridad, la mitigación de riesgos está en cumplimiento con los objetivos del negocio, sin embargo se detectaron algunos puntos de mejora, a los cuales la administración de riesgos les ha dado seguimiento.

9.4 PROYECTOS ASOCIADOS A LA GESTIÓN DE CONTINUIDAD DEL NEGOCIO A DESARROLLAR EN 2016

En coherencia con el plan de trabajo regional, la Gestión de Continuidad de Negocios continuará su alineamiento a los

requerimientos de la 22301:2012 Seguridad de la sociedad – Sistemas de gestión de la CN. Estos esfuerzos han sido

plasmados en el plan 2016.

1. Implementación del sistema de Gestión de Continuidad de Negocios en conformidad con el estándar ISO:22301 2. Concientización y Capacitación. Plan de educación virtual dirigido al 100% de la Organización. 3. Programa de Pruebas de Continuidad de Negocios, alcance a nivel de servicios críticos.

Informe integral de riesgos - BAC Credomatic

Documents

Transcript of Informe integral de riesgos - BAC Credomatic