Resolución nº 877-2020 de Superintendencia de Banca y Seguros, 26-02-2020
| Fecha | 26 Febrero 2020 |
| Emisor | Superintendencia de Banca y Seguros |
| Tipo de documento | Sistema Financiero,Sistema de Seguros,Sistema Privado de Pensiones |
Lima, 26 de febrero de 2020
Resolución S.B.S.
Nº 877-2020
La Superintendenta de Banca, Seguros y
Administradoras Privadas de Fondos de Pensiones
CONSIDERANDO:
Que, el Reglamento de Gobierno Corporativo y de la Gestión Integral de Riesgos, aprobado mediante la Resolución SBS N° 272-2017, incorpora disposiciones que tienen por finalidad que las empresas supervisadas cuenten con una gestión de riesgos y gobierno corporativo adecuados;
Que, mediante el Reglamento para la Gestión del Riesgo Operacional, aprobado mediante la Resolución SBS N° 2116-2009, se incluyen disposiciones que las empresas deben cumplir en la gestión efectiva del riesgo operacional;
Que, mediante las circulares G-139-2009, G-164-2012 y G-180-2015, se establecen los criterios mínimos para la gestión de la continuidad del negocio, la obligación de reportar eventos de interrupción significativa de operaciones, y el uso de indicadores clave para la gestión de la continuidad del negocio, respectivamente;
Que, resulta necesario actualizar la normativa sobre gestión de la continuidad del negocio vía la aprobación de un reglamento complementario al Reglamento para la Gestión del Riesgo Operacional, tomando en consideración los resultados de las labores de supervisión y de los Ejercicios Sectoriales de Continuidad del Negocio llevados a cabo en los años 2014 y 2017, así como de los estándares y buenas prácticas internacionales sobre la materia, entre los que se encuentran el estándar ISO 22301:2012, sobre los sistemas de gestión de la continuidad del negocio, y la Guía de Buenas Prácticas del Business Continuity Institute;
Que, para recoger las opiniones del público, se dispuso la prepublicación del proyecto de resolución sobre la materia en el portal electrónico de la Superintendencia, al amparo de lo dispuesto en el Decreto Supremo Nº 001-2009-JUS;
Con el visto bueno de las Superintendencias Adjuntas de Banca y Microfinanzas, de Administradoras Privadas de Fondos de Pensiones, de Seguros, de Riesgos y de Asesoría Jurídica; y,
En uso de las atribuciones conferidas por los numerales 7 y 9 del artículo 349° de la Ley General del Sistema Financiero y del Sistema de Seguros y Orgánica de la Superintendencia de Banca y Seguros, Ley N° 26702 y sus modificatorias, y el inciso d) del artículo 57° de la Ley del Sistema Privado de Administración de Fondos de Pensiones, cuyo Texto Único Ordenado es aprobado por Decreto Supremo N° 054-97-EF;
RESUELVE:
Artículo Primero.- Aprobar el Reglamento para la Gestión de la Continuidad del Negocio, según se indica a continuación:
“REGLAMENTO PARA LA GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO
DISPOSICIONES GENERALES
Artículo 1. Alcance-
El presente Reglamento es de aplicación a las empresas señaladas en los artículos 16 y 17 de la Ley General, así como a las Administradoras Privadas de Fondos de Pensiones (AFP), en adelante empresas.
-
También es de aplicación al Banco de la Nación, al Banco Agropecuario, a la Corporación Financiera de Desarrollo (COFIDE), al Fondo MIVIVIENDA S.A., y a las Derramas y Cajas de Beneficios bajo control de la Superintendencia, en tanto no se contrapongan con las normativas específicas que regulen el accionar de dichas instituciones.
Para la aplicación del presente Reglamento deben considerarse las siguientes definiciones:
-
Análisis de impacto del negocio: Proceso mediante el cual se evalúan los efectos de un evento de interrupción del negocio para determinar la prioridad con la que se deben recuperar las actividades de la empresa.
-
Impacto máximo aceptable: Nivel máximo de impacto que puede ser aceptado por la empresa ante la ocurrencia de un evento de interrupción del negocio sobre diversos aspectos, tales como financiero, regulatorio, reputacional, sobre el público y el cumplimiento de los objetivos estratégicos.
-
Objetivo de recuperación de negocio: Nivel mínimo aceptable de operatividad de los productos y servicios a recuperar luego de una interrupción. Puede ser definido en términos de alguna o la combinación de las siguientes variables: canales de atención, volumen de operaciones, volumen de clientes, montos para la atención de operaciones y horarios de atención.
-
Periodo máximo tolerable de interrupción (PMTI): Periodo luego del cual una interrupción alcanza alguno de los niveles de impacto máximos aceptables.
-
Punto único de falla: Fuente o camino único de un servicio, actividad y/o proceso para el cual no existe una alternativa y cuya pérdida o falla pueda ocasionar una interrupción.
-
Punto objetivo de recuperación (POR): Nivel máximo de información que se podría perder como resultado de una interrupción en los servicios de tecnologías de la información. Se representa en unidades de tiempo.
-
Tiempo objetivo de recuperación (TOR): Tiempo establecido por la empresa para reanudar operaciones, en caso de ocurrencia de una interrupción. Es menor al PMTI.
-
El sistema de gestión de la continuidad del negocio es el componente de la gestión integral de riesgos que busca asegurar la capacidad de la empresa para continuar operando a niveles previamente establecidos, ante la ocurrencia de una interrupción.
-
El sistema de gestión de la continuidad del negocio implica, cuando menos, las siguientes fases: i) Entendimiento de la organización; ii) diseño de la estrategia de continuidad; iii) implementación de la estrategia de continuidad; iv) plan de pruebas; v) capacitación; y, v) revisión y actualización.
-
El sistema de gestión de la continuidad del negocio de la empresa debe ser proporcional al tamaño, la naturaleza y la complejidad de sus operaciones.
-
Las disposiciones referidas al sistema general de gestión de la continuidad del negocio y los reportes de interrupción de operaciones, descritas en los Subcapítulos I y IV del Capítulo II, respectivamente, son de aplicación obligatoria a las siguientes empresas:
-
Empresa Bancaria;
-
Empresa Financiera;
-
Caja Municipal de Ahorro y Crédito - CMAC;
-
Caja Municipal de Crédito Popular - CMCP;
-
Caja Rural de Ahorro y Crédito - CRAC;
-
Empresa de Seguros y/o Reaseguros;
-
Empresa de Transporte, Custodia y Administración de Numerario;
-
Administradora Privada de Fondos de Pensiones;
-
Empresa Emisora de Tarjetas de Crédito y/o de Débito;
-
Empresa Emisora de Dinero Electrónico; y,
-
El Banco de la Nación.
-
Las disposiciones referidas al sistema simplificado de gestión de la continuidad del negocio, descritas en el Subcapítulo II del Capítulo II, son de aplicación obligatoria a las siguientes empresas:
-
Banco de Inversión;
-
Entidad de Desarrollo a la Pequeña y Micro Empresa – EDPYME;
-
Empresa de Transferencia de Fondos;
-
Derrama y Caja de Beneficios bajo control de la Superintendencia;
-
La Corporación Financiera de Desarrollo –COFIDE;
-
El Fondo MIVIVIENDA S.A.;
-
El Fondo de Garantía para Préstamos a la Pequeña Industria –FOGAPI; y,
-
El Banco Agropecuario.
-
Las empresas señaladas en el Artículo 1 no listadas en los párrafos 4.2 o 4.3 anteriores, podrán establecer un sistema de gestión de la continuidad de negocio conforme a las disposiciones del presente reglamento.
-
Las políticas para la gestión de la continuidad del negocio deben ser aprobadas por el directorio, y considerar cuando menos lo siguiente:
...
Para continuar leyendo
Solicita tu prueba