RESOLUCION, Nº 027-2016-SMV/01, ORGANISMOS TECNICOS ESPECIALIZADOS, SUPERINTENDENCIA DEL MERCADO DE VALORES - Aprueban el Reglamento de Gestión del Riesgo Operacional-RESOLUCION-Nº 027-2016-SMV/01

EmisorSUPERINTENDENCIA DEL MERCADO DE VALORES
Fecha de la disposición15 de Septiembre de 2016

Lima, 15 de septiembre de 2016

VISTOS:

El Expediente N° 2016030999, los Informes Conjuntos N°s 620 y 712-2016-SMV/06/12/13 del 10 de agosto y 12 de septiembre de 2016, respectivamente, emitidos por la Oficina de Asesoría Jurídica, la Superintendencia Adjunta de Investigación y Desarrollo y la Superintendencia Adjunta de Riesgos, así como, el proyecto de Reglamento de Gestión del Riesgo Operacional (en adelante, el Proyecto);

CONSIDERANDO:

Que, conforme a lo dispuesto en el literal a) del artículo 1° del Texto Único Concordado de la Ley Orgánica de la Superintendencia del Mercado de Valores - SMV, aprobado mediante Decreto Ley N° 26126 y modificado por la Ley de Fortalecimiento de la Supervisión del Mercado de Valores, Ley N° 29782, la Superintendencia del Mercado de Valores - SMV está facultada para dictar las normas legales que regulen materias del mercado de valores;

Que, de acuerdo con el literal b) del artículo 5° de la precitada norma, el Directorio de la SMV tiene por atribución aprobar la normativa del mercado de valores, así como aquella a que deben sujetarse las personas naturales y jurídicas sometidas a su supervisión;

Que, el artículo 16-B de la Ley del Mercado de Valores - LMV, aprobada por Decreto Legislativo N° 861, establece que las personas jurídicas autorizadas por la SMV deberán constituir un Sistema de Administración de Riesgos de acuerdo con las normas que establezca la SMV;

Que, el 20 de diciembre de 2015, se publicó en el Diario Oficial El Peruano el Reglamento de Gestión Integral de Riesgos aprobado mediante Resolución SMV N° 037-2015-SMV/01, el cual establece criterios mínimos para que las Entidades a las que la SMV otorga autorización de funcionamiento desarrollen de manera adecuada su gestión integral de riesgos;

Que, bajo el referido marco, es necesario aprobar disposiciones complementarias a efectos de regular con detalle y de manera independiente diversos aspectos asociados con la gestión de los riesgos inherentes a los que se encuentran expuestas dichas Entidades, tales como riesgo operacional, de mercado, crédito, liquidez, entre otros;

Que, se requiere establecer lineamientos, criterios y parámetros generales que la Entidad debe observar en el diseño, desarrollo y aplicación de su gestión del riesgo operacional, de acuerdo con el tamaño, volumen de transacciones y complejidad de las operaciones que realizan; a modo de garantizar el correcto desarrollo de las operaciones por parte de las entidades supervisadas por la SMV, teniendo presente que la administración de este riesgo se está convirtiendo en una característica importante en la gestión integral de riesgos de los mercados financieros modernos;

Que, el uso extendido de soluciones y plataformas tecnológicas en los mercados de valores ha permitido ampliar la capacidad, velocidad y precisión de diversas operaciones que se pueden realizar en los mercados globales, pero, a su vez ,plantean diversos riesgos, por lo que resulta necesario, como parte de una adecuada gestión del riesgo operacional, establecer para las Entidades que la SMV otorga autorización de funcionamiento, lineamientos para el desarrollo de sus sistemas de gestión de seguridad de información y gestión de continuidad del negocio, para que estos sean desarrollados de manera adecuada;

Que, el Proyecto fue difundido en el Diario Oficial El Peruano y puesto en consulta ciudadana en el Portal del Mercado de Valores de la SMV por quince (15) días calendario, conforme lo dispuso la Resolución SMV Nº 022-2016-SMV/01, publicada el 17 de agosto de 2016; y,

Estando a lo dispuesto por el literal a) del artículo 1°, el literal b) del artículo 5 del Texto Único Concordado de la Ley Orgánica de la Superintendencia del Mercado de Valores – SMV, aprobado por el Decreto Ley N° 26126 y sus modificatorias, el artículo 7 de la Ley del Mercado de Valores, Decreto Legislativo N° 861 y sus modificatorias, así como a lo acordado por el Directorio en su sesión del 14 de septiembre de 2016;

SE RESUELVE:

Artículo 1° Aprobar el Reglamento de Gestión del Riesgo Operacional, el mismo que consta de dieciocho (18) artículos, tres (3) disposiciones complementarias finales, dos (2) disposiciones complementarias transitorias y un (01) Anexo, los que a continuación se detallan:
Artículo 1 AMBITO DE APLICACIÓN

Las disposiciones del presente Reglamento son aplicables a las Entidades a las que la Superintendencia de Mercado de Valores - SMV otorga autorización de funcionamiento.

Artículo 2 DEFINICIONES

Para la aplicación del presente Reglamento se considerarán las siguientes definiciones:

  1. Confidencialidad: La información debe mantenerse en reserva, pudiendo ser accesible únicamente a aquellos usuarios que se encuentren debidamente autorizados, capacitados y supervisados.

  2. Disponibilidad: La información debe ser accesible a los usuarios autorizados cuando sea requerida.

  3. Incidente de seguridad de información: Evento asociado a una posible falla en la política de seguridad, una falla en los controles, o una situación previamente desconocida relevante para la seguridad, que tiene una probabilidad significativa de comprometer las operaciones del negocio y amenazar la seguridad de la información.

  4. Información: Cualquier forma de registro electrónico, óptico, magnético o en otros medios similares, susceptible de ser procesada, distribuida y almacenada.

  5. Integridad: La información debe ser completa, exacta y veraz.

  6. Periodo máximo tolerable de interrupción: Es el periodo, determinado por la Entidad, luego del cual la viabilidad de la Entidad sería afectada seriamente, si un producto o servicio en particular no es reanudado.

  7. Proveedor principal: Es aquel que, de interrumpir sus operaciones afectaría de manera importante la continuidad del negocio de la Entidad. Es, además, aquel con el que se tiene una subcontratación significativa, que incluye a los proveedores de servicios públicos como: telecomunicaciones, energía, entre otros.

  8. Reglamento: El Reglamento de Gestión del Riego Operacional.

  9. Reglamento de Gestión Integral de Riesgos: El Reglamento de Gestión Integral de Riesgos, aprobado por Resolución SMV N° 037-2015-SMV/01.

  10. Subcontratación significativa: Es aquella subcontratación que, en caso de falla o suspensión del servicio, puede poner en riesgo a la Entidad, al afectar sus ingresos, solvencia o continuidad del negocio de manera importante.

  11. Tiempo objetivo de recuperación: Es el tiempo establecido por la Entidad para reanudar un proceso, en caso de ocurrencia de un evento de interrupción de operaciones. Es menor al periodo máximo tolerable de interrupción.

Asimismo, serán de aplicación las definiciones contenidas en el Reglamento de Gestión Integral de Riesgos.

En adelante, los términos antes mencionados podrán emplearse en forma singular o plural, sin que ello implique un cambio en su significado. Salvo mención en contrario, la referencia a artículos determinados debe entenderse efectuada a los correspondientes del presente Reglamento.

Artículo 3 FINALIDAD

El presente Reglamento establece lineamientos, criterios y parámetros generales que la Entidad debe observar en el diseño, desarrollo y aplicación de su gestión del riesgo operacional, de acuerdo con el tamaño, volumen de transacciones y complejidad de las operaciones que realizan.

Como parte de una adecuada gestión del riesgo operacional, las Entidades deben implementar un sistema de gestión de seguridad de la información y gestión de la continuidad del negocio.

Artículo 4 RIESGO OPERACIONAL

El riesgo operacional es la posibilidad de ocurrencia de pérdidas originadas por procesos inadecuados, errores del personal, fallas tecnológicas o por eventos externos. El riesgo operacional incluye el riesgo legal.

No constituye riesgo operacional el riesgo estratégico y el de reputación.

Artículo 5 FACTORES DE RIESGO OPERACIONAL

La Entidad debe considerar los siguientes factores de riesgo operacional:

  1. Personal: La Entidad debe gestionar los riesgos asociados a su personal como: la inadecuada capacitación, negligencia, error humano, sabotaje, fraude, robo, paralizaciones, apropiación de información sensible, alta rotación, concentración de funciones, entre otros.

  2. Procesos internos: La Entidad debe gestionar apropiadamente los riesgos asociados a los procesos internos implementados para la realización de sus operaciones y servicios. Estos riesgos están relacionados con el diseño inapropiado de los procesos, políticas y procedimientos inadecuados o inexistentes que puedan tener como consecuencia del desarrollo deficiente de las operaciones y servicios o la suspensión de los mismos.

  3. Tecnología: La Entidad debe contar con la tecnología de información que garantice la captura, procesamiento, almacenamiento y transmisión de la información de manera oportuna y confiable; evitar interrupciones del negocio, errores en el diseño e implementación de los sistemas, problemas de calidad de la información y lograr que la información sea íntegra, confidencial y esté disponible para una apropiada toma de decisiones.

  4. Eventos externos: La Entidad debe gestionar los riesgos de pérdidas derivadas de la ocurrencia de eventos...

Para continuar leyendo

Solicita tu prueba

VLEX utiliza cookies de inicio de sesión para aportarte una mejor experiencia de navegación. Si haces click en 'Aceptar' o continúas navegando por esta web consideramos que aceptas nuestra política de cookies. ACEPTAR