BANCO DE HONDURAS, S.A.

Transcripción

1 INFORME ANUAL SOBRE LA GESTIÓN DEL RIESGO OPERATIVO ENERO DICIEMBRE 2016 BANCO DE HONDURAS, S.A. UNA SUBSIDIARIA DE CITIBANK N.A.

2 TABLA DE CONTENIDO I. INFORMACIÓN GENERAL... 2 A. OBJETIVO... 2 B. ALCANCE... 2 II. GESTIÓN DE RIESGO OPERATIVO DE BANCO DE HONDURAS S.A III. HERRAMIENTAS Y ACTIVIDADES DE MONITOREO UTILIZADAS PARA LA GESTIÓN DE RIESGO... 4 A. PROCESO DE AUTOEVALUACIÓN DE RIESGOS Y CONTROLES POR SUS SIGLAS EN INGLÉS MCA:... 4 B. ANÁLISIS DE RIESGOS OPERATIVOS CLAVES:... 5 C. ANÁLISIS DE PÉRDIDAS OPERATIVAS:... 5 D. APOYO EN LA ELABORACIÓN DE PLAN DE ACCIÓN CORRECTIVO JUNTO CON LAS ÁREAS:... 6 E. SEGUIMIENTO A HALLAZGOS REGULATORIOS Y HALLAZGOS ENCONTRADOS POR EL NEGOCIO Y AUDITORIA INTERNA:... 6 F. PRE-EVALUACIÓN DE PROCESOS, CONTROLES Y HERRAMIENTAS DE MONITOREO: 6 IV. RESULTADOS DE LA GESTIÓN DE RIESGO OPERATIVO MÁS RELEVANTES DURANTE EL

3 I. INFORMACIÓN GENERAL A. OBJETIVO El objetivo de este Informe es dar a conocer la Gestión del Riesgo Operativo de Banco de Honduras S.A., mostrando los principales resultados de la identificación, evaluación y comunicación del riesgo operativo y la eficacia de los procesos de gestión que se realizaron durante el año Teniendo como principal propósito el cumplimiento de las disposiciones establecidas en el marco regulatorio local y las políticas corporativas de Citi para la gestión del riesgo operativo. Banco de Honduras tiene como objetivo promover la mejora continua en el diseño y aplicación de la administración de riesgo operacional a través de la Política de Riesgo Operativo, las herramientas gerenciales y el proceso de gobernabilidad. El banco mantiene un proceso de evaluación de los riesgos operativos vigentes y emergentes identificados en la actividad del negocio y evalúa la efectividad de los métodos de monitoreo de control para mitigar los riesgos. Para el 2016, Banco de Honduras tuvo un excelente avance en cuanto a la gestión de este riesgo, logrando reducir sustancialmente las pérdidas operativas provenientes de todas las fuentes, proveyendo tanto a sus clientes, accionistas y partes interesadas, una mayor protección sobre el valor de sus inversiones. B. ALCANCE Este informe es aplicable y abarca a todas las Unidades de Negocios de Banco de Honduras, S.A. 2

4 II. GESTIÓN DE RIESGO OPERATIVO DE BANCO DE HONDURAS S.A. Banco de Honduras, S.A., cuenta con una estructura organizativa que incluye una Unidad de Riesgos, la cual es independiente del resto de las áreas del Banco y tiene dentro de sus funciones la administración adecuada del riesgo operativo. Dicha Unidad de Riesgos asiste al negocio, operaciones y tecnología y otros grupos de control independiente en mejorar la efectividad de los controles y gestionar el Riesgo Operativo a lo largo de productos y líneas de negocio, siempre de conformidad con los requerimientos regulatorios locales e institucionales. Dicha área independiente es manejada a través de una estructura completa, la cual se ha diseñado para balancear una fuerte supervisión corporativa con una muy bien definida gestión independiente de riesgo. Esta estructura incluye: Un Gerente de Riesgo Integral y Operativo. Designados para la Gestión del Riesgo Operativo en cada una de las áreas. Proceso Trimestral de evaluación y una Sesión Anual de Facilitación de Riesgo para garantizar el adecuado involucramiento de todas las áreas claves del banco quienes pueden aportar informaciones para soportar el proceso de revisión y de los riesgos y controles. Área especial de apoyo en la identificación y estructuración de planes de acción correctivos. Supervisión y monitoreo periódico por parte de las áreas de gestión de riesgos independientes y funciones de control; y Evaluación independiente por parte de la función de Auditoría Interna de Citi. El Oficial de Riesgo Operativo forma parte de la unidad de Gestión Integral de Riesgos. La unidad de riesgos elabora reportes e informes periódicamente para el Comité de Riesgo Integral, y otros comités (tales como el Comité de Auditoria, entre otros), en donde se hace énfasis en los esfuerzos y trabajos realizados en el período evaluado para la administración y control de los riesgos. El Oficial de Riesgo asegura mantener el riesgo operativo en niveles apropiados relativos a las características del negocio de Citi, los mercados en los que opera su capital y liquidez, y el ambiente competitivo, económico y regulatorio. Para monitorear, mitigar y controlar el riesgo operativo, Citi mantiene un sistema de políticas y cuenta con una estructura consistente para evaluar y comunicar los riesgos operativos y la efectividad global del ambiente de control interno. 3

5 III. HERRAMIENTAS Y ACTIVIDADES DE MONITOREO UTILIZADAS PARA LA GESTIÓN DE RIESGO A. PROCESO DE AUTOEVALUACIÓN DE RIESGOS Y CONTROLES (POR SUS SIGLAS EN INGLÉS MCA 1 : MCA es el proceso de autoevaluación del ambiente de control interno. Es un proceso de monitoreo constante del ambiente de control, con tareas que se ejecutan de manera trimestral y anual. El resultado de estas autoevaluaciones genera una calificación del ambiente de control de cada área. Los resultados son presentados en el Comité de Riesgo Integral, en el cual se presenta el motivo de las pruebas fallidas. Se analiza si la remediación a la prueba fallida amerita el levantamiento de un plan de acción correctivo por parte del negocio para mitigar el riesgo. Para el 2016, se realizó una estandarización en el modelo de calificación, que toma en cuenta elementos cuantitativos y cualitativos medibles, tomando en consideración todas las variables que pudiesen llegar a afectar el ambiente de control interno y de gestión del riesgo operativo. Esta nueva herramienta de calificación, la cual será sometida a revisiones y calibraciones periódicas, provee un acercamiento estándar en las calificaciones trimestrales que realiza el banco. Este modelo consta de 4 niveles: Nota Calificación 100% - 94% Fuerte 93.99% - 82% Efectivo 81.99% - 60% Oportunidad de Mejoras 59.99% - 0% Inefectivo El nuevo modelo de calificación se comenzó a utilizar a partir del segundo trimestre del La calificación global en la Gestión de Riesgo Operativo durante el 2016 para Banco de Honduras fue: 1er Trimestre 2016 : Oportunidad de Mejoras 2do Trimestre 2016 : Oportunidad de Mejoras 3er Trimestre 2016 : Oportunidad de Mejoras 4to Trimestre 2016 : Efectivo Durante el 1 primer, segundo y tercer trimestre los procesos de autoevaluación identificaron varias deficiencias en controles que fueron remediadas para el cierre del 1 MCA: Managers Control Assessment 4

6 2016, pudiendo regresar a una calificación de Efectivo para el cuarto trimestre del B. ANÁLISIS DE RIESGOS OPERATIVOS CLAVES: Cada negocio es dueño de sus riesgos operacionales y es responsable por la gestión de los mismos. La gerencia de cada negocio: 1. Determina los riesgos operacionales claves que les impacta y que están alineados dentro de la definición de Banco de Honduras, S.A., de las categorías de eventos de riesgos operacionales y líneas de negocio. Durante el proceso de identificación, el negocio tiene que tomar en cuenta los factores de riesgo operacional, que pueden estar relacionados a: recursos humanos (ej. Error humano, desidia), procesos internos (ej. Procesos mal estructurados o ausencia de procesos), tecnología de la información (ej. Incidentes de tecnología que afecten a la entrega de servicios) y factores externos (Ej. Desastre natural, pandemia); 2. Estos Riesgos Operacionales claves se derivan de una evaluación de la exposición a los riesgos operacionales del segmento, productos y funciones tomando en cuenta la estrategia actual del negocio, riesgos emergentes sustanciales y factores relevantes locales e históricos, incluyendo las pérdidas internas y externas, rentabilidad del negocio, el ambiente actual del negocio y factores del ambiente de control interno. Por este proceso de evaluación el negocio define su apetito de Riesgo para el cual se señala los riesgos residuales más significativos; 3. Estos se re-validan de manera periódica de acuerdo a los elementos que impacten los riesgos identificados y por medio del monitoreo pertinente de sus mitigantes y de acuerdo a las herramientas definidas el proceso de medición de tolerancia de riesgo. De esta manera el negocio está validando su apetito de riesgo dado cambios en el clima interno y factores externos. C. ANÁLISIS DE PÉRDIDAS OPERATIVAS: Mensualmente el Oficial de Riesgo Operativo presenta al Comité de Gobierno Corporativo y al Comité de Riesgo Integral de forma bimensual, el análisis de las pérdidas operativas. Este análisis permite identificar tendencias en fallas o debilidades en los controles de manera global como franquicia de Citi y dentro de cada área del banco a nivel local para identificar oportunidades de mejora para el fortalecimiento de los controles que mitiguen los eventos de pérdidas operativas. Durante el 2016 fue registrada solo una pérdida operativa en todo el año. La pérdida en cuestión, fue una multa de la dirección de impuestos por presentación tardía de un reporte. Los errores que produjeron el atraso fueron identificados y remediados para evitar recurrencias. 5

7 D. APOYO EN LA ELABORACIÓN DE PLAN DE ACCIÓN CORRECTIVO JUNTO CON LAS ÁREAS: Cuando las herramientas de monitoreo encuentran una falla o debilidad en los procesos ejecutados por cada área, es responsabilidad del área corregir o fortalecer dichas deficiencias encontradas, a través del establecimiento de planes de acción correctivas. Parte de las responsabilidades del Oficial de Riesgo Operativo es apoyar al área a levantar procesos, controles y asesorar al tipo de herramienta de monitoreo adecuada para asegurar el buen funcionamiento del área y la no reincidencia de los errores o deficiencias encontradas. Durante el 2016, los planes de acción tanto de auditoria interna, como los del negocio fueron cumplidos en tiempo y forma, logrando de esta manera evitar recurrencias y/o extensiones de plazo en las fechas de ejecución de dichos planes de acción. E. SEGUIMIENTO A HALLAZGOS REGULATORIOS Y HALLAZGOS ENCONTRADOS POR EL NEGOCIO Y AUDITORIA INTERNA: Semanalmente se da seguimiento a los planes de acción correctivos derivados de los hallazgos encontrados por cualquier autoridad. Se reportan periódicamente al Comité de Gobierno Corporativo y al Comité de Gestión Integral de Riesgos. La Unidad de Riesgo y Control del Negocio monitorea cada actividad del Plan de Acción Correctivo y se asegura que cada tarea sea completada en tiempo y forma, con el fin de evitar cambios (o extensiones) de las fechas establecidas para cumplir con el plan de acción propuesto o que auditoria interna considere la necesidad de re-abrir un hallazgo por no haber cumplido con las fechas establecidas de ejecución del plan de acciones correctiva. F. PRE-EVALUACIÓN DE PROCESOS, CONTROLES Y HERRAMIENTAS DE MONITOREO: Como parte del proceso continuo de mejora al ambiente de control interno y para minimizar las exposiciones a riesgos, todas las áreas trabajan continuamente en robustecer sus procesos y controles de acuerdo a la regulación, leyes aplicables del sistema financiero y políticas corporativas de Citi. Las Pre-evaluaciones contienen las siguientes actividades: Revisión e identificación de las normas aplicables a Banco de Honduras. Análisis granular de las normas aplicables. Análisis de pérdidas operativas registradas a cargo del área. 6

8 Identificación de los controles y procesos existentes, tanto críticos como no críticos, que cumplen con la normativa y política corporativa. Reevaluar y medir los procesos, riesgos, controles y métodos de monitoreo. Creación de nuevos controles y métodos de monitoreo en los casos que aún no estaban implementados. Actualización de procesos y controles existentes para readecuarlo al nuevo enfoque de negocio banca corporativa. Las Pre-Evaluaciones se realizan periódicamente, alineado al calendario de auditorías internas, con el fin de anticipar riesgos, identificarlos, medirlos, evaluarlos, y monitorearlos de forma más eficaz y efectiva. Para el 2016, se realizaron un total de 3 pre-evaluaciones, en distintas áreas, las que produjeron planes de acción correctivos que redujeron los hallazgos en casi un 38%. IV. RESULTADOS DE LA GESTIÓN DE RIESGO OPERATIVO MÁS RELEVANTES DURANTE EL 2016 Trimestralmente se revisaron los procedimientos y controles para la administración de riesgos a través de los pruebas de monitoreo de controles, identificando fallas que fueron remediadas durante el año. Se implementó un modelo de calificación estándar del ambiente de control interno y de riesgo operativo. Se consolidó un proceso semanal de presentación del estado de los planes acción correctivos de las diferentes fuentes. Mismas que son presentados y discutidos con la administración superior y la alta gerencia del banco. Se registró una sola pérdida operativa en todo el año, realizándose un análisis de causa raíz que produjo un plan de acción que fue remediado. 7