BOLETÍN INFORMATIVO No. 238 Bogotá D.C., 15 de noviembre de 2013 02. NORMAS SOBRE EL MERCADO DE VALORES Y DEL SECTOR FINANCIERO Por considerarlo de su interés, les informamos que la Superintendencia Financiera de Colombia publicó para comentarios el Proyecto de Circular Externa por medio del cual se imparten instrucciones en materia de requerimientos mínimos para el procesamiento de información. El Proyecto tiene como propósito incorporar instrucciones relacionadas con centros de procesamiento de datos, garantizar la independencia de la información en los centros de servicios compartidos, mejorar los requerimientos específicos para los planes de contingencia y continuidad del negocio de las entidades vigiladas. Adicionalmente, establece el régimen de transición para que las entidades vigiladas cumplan con los requerimientos, el cual inicia el primero de abril de 2015 y finaliza el primero de octubre de 2017. El plazo para comentarios vence el 22 de noviembre a las 5:00pm y los mismos deben ser remitidos a [email protected], [email protected] o [email protected]. A continuación se publica el Proyecto de Circular Externa en mención y sus respectivos anexos. Firmado digitalmente por Vicepresidencia Jurídica Nombre de reconocimiento (DN): cn=Vicepresidencia Jurídica, o=Bolsa de Valores de Colombia S.A., ou=Vicepresidencia Jurídica, [email protected], c=CO Fecha: 2013.11.15 16:44:08 -05'00' PROFORMA INTERNA E-PI-DDS-002 PUBLICACIÓN PARA COMENTARIOS Versión 1 Se publica para comentarios del público el siguiente: PROYECTO DE CIRCULAR EXTERNA: Por medio de la cual se imparten instrucciones en materia de requerimientos mínimos para el procesamiento de información. PROPÓSITO: Incorporar instrucciones relacionadas con centros de procesamiento de datos, garantizar la independencia de la información en los centros de servicios compartidos, mejorar los requerimientos específicos para los planes de contingencia y continuidad del negocio de las entidades vigiladas. PLAZO PARA COMENTARIOS: Hasta las 5:00 pm del viernes 22 de noviembre de 2013. RECIBIMOS SU COMENTARIOS: VIA E- MAIL: [email protected] [email protected] [email protected] POR ESCRITO A: Diana Rocío Castañeda Suárez Subdirectora de Coordinación Normativa Superintendencia Financiera de Colombia Calle 7 No. 4 – 49 Of. 507 Zona B. Bogotá, D.C. * Consulte en este archivo el texto del proyecto de Circular Externa SUPERINTENDENCIA FINANCIERA DE COLOMBIA CIRCULAR EXTERNA ( DE 2013 ) Señores REPRESENTANTES LEGALES Y REVISORES FISCALES DE LAS ENTIDADES VIGILADAS Referencia: Instrucciones en materia de requerimientos mínimos para el procesamiento de información. Apreciados señores: Este Despacho en ejercicio de sus facultades, en especial las conferidas en el numeral 9 del artículo 11.2.1.4.2. del Decreto 2555 de 2010, considera necesario impartir instrucciones relacionadas con los requerimientos mínimos que deben atender las entidades vigiladas para el procesamiento de información, la tercerización de operaciones y la administración del riesgo operativo. Para el efecto este Despacho ha considerado conveniente: Primero: Adicionar al Título Primero de la Circular Básica Jurídica el Capítulo XVII “Requerimientos mínimos para el procesamiento de información”, mediante el cual se imparten instrucciones para el procesamiento de información en centros de procesamiento de datos, centros alternos de procesamiento de datos, centros de servicios compartidos y la administración de la continuidad del negocio para algunas entidades vigiladas. Segundo: Modificar el numeral 3.1.3.1 “Administración de la continuidad del negocio” del Capítulo XXIII de la Circular Básica Contable y Financiera, mediante el cual se imparten instrucciones relacionadas con los planes de contingencia y continuidad del negocio. Régimen de transición: Para la implementación de los requerimientos señalados en la presente circular, las entidades vigiladas deberán observar las fechas y obligaciones que se establecen a continuación: 1. A más tardar el primero (1°) de abril de 2015 las entidades deben dar cumplimiento a lo dispuesto en los subnumerales 3.1.5, 3.1.8, 3.2.5, 3.2.7, 4, 5.1.2 del capítulo XVII del Título Primero de la Circular Básica Jurídica. 2. A más tardar el primero (1°) de abril de 2016 las entidades deben dar cumplimiento a lo dispuesto en los subnumeral 3.2.3, 5.2.1 del capítulo XVII del Título Primero de la Circular Básica Jurídica. 3. A más tardar el primero (1°) de octubre de 2017 las entidades deben dar cumplimiento a lo dispuesto en el subnumeral 3.2.4 del capítulo XVII del Título Primero de la Circular Básica Jurídica. Se anexan las páginas correspondientes. La presente Circular Externa rige a partir de la fecha de su publicación. Cordialmente, GERARDO HERNÁNDEZ CORREA Superintendente Financiero de Colombia 050000 SUPERINTENDENCIA FINANCIERA DE COLOMBIA CAPÍTULO DÉCIMO SÉPTIMO: REQUERIMIENTOS MÍNIMOS PARA EL PROCESAMIENTO DE INFORMACIÓN CONTENIDO 1. Ámbito de aplicación. 2. Definiciones. 3. Centros de procesamiento de datos (CPD) y Centros Alternos de Procesamiento de Datos (CAPD). 3.1. 3.2. 3.3. 3.4. 3.5. Obligaciones generales. Requerimientos de los CPD y CAPD. Documentación. Acuerdos o contratos de servicios. Requerimientos adicionales para los CPD y CAPD que operen fuera de Colombia. 4. Centros de servicios compartidos (CSC). 5. Administración de la continuidad del negocio. TITULO I – CAPÍTULO DÉCIMO SÉPTIMO Requerimientos mínimos para el procesamiento de información. Circular Externa de 2013 Página 1 XXXXX de 2013 SUPERINTENDENCIA FINANCIERA DE COLOMBIA CAPITULO DÉCIMO SÉPTIMO: REQUERIMIENTOS MÍNIMOS PARA EL PROCESAMIENTO DE INFORMACIÓN 1. Ámbito de aplicación Las instrucciones de este capítulo, excepto lo dispuesto en el siguiente párrafo, deben ser adoptadas por todas las entidades vigiladas por la Superintendencia Financiera de Colombia (SFC), con excepción de las Oficinas de Representación de Instituciones Financieras y reaseguradoras en el exterior, sociedades fiduciarias sin establecimiento de comercio, del mercado de valores del exterior y organismos financieros del exterior sin establecimiento de comercio. Los numerales 3.1.5, 3.2.3 y 3.2.4 del presente capítulo deberán ser cumplidos exclusivamente por las siguientes entidades: Establecimientos de Crédito, Aseguradoras, Sociedades Fiduciarias, Sociedades Administradoras de Sistemas de Pago de Bajo Valor, Sociedades Administradoras de Fondos de Pensiones y Cesantías, Bolsas de Valores, Bolsas Agropecuarias, Sociedades Administradoras de Sistemas de Negociación y Registro, Sociedades Comisionistas de las Bolsas de Valores, Sociedades Administradoras de Inversión, Sociedades Administradoras de Depósitos Centralizados de Valores, Cámaras de Compensación, Cámaras de Riesgo Central de Contraparte, Proveedores de Precios, Fondo Nacional del Ahorro, Colpensiones y el Banco de la República. Sin perjuicio de lo anterior, las demás entidades podrán poner en práctica las instrucciones contenidas en los numerales en mención, cuando lo consideren conveniente. 2. Definiciones Las siguientes definiciones se tendrán en cuenta para los fines de la presente circular. 2.1. Análisis de Impacto del Negocio (BIA, por su nombre en inglés Business Impact Analisis): estudio que determina cuáles son los procesos y recursos críticos para la operación de la entidad y el impacto para la organización cuando se presenten eventos que los afecten. 2.2. Centro Alterno de Procesamiento de Datos (CAPD): lugar en donde se procesa la información de una entidad cuando no es posible hacerlo en el CPD, el cual puede ser de su propiedad o de un tercero. 2.3. Centro de Procesamiento de Datos (CPD): lugar en donde se concentran los recursos necesarios para el procesamiento de la información de una entidad, el cual puede ser de su propiedad o de un tercero. 2.4. Centro de Servicios Compartidos (CSC): es una unidad administrativa que se encarga de gestionar procesos y actividades de soporte de varias entidades. 2.5. Categoría Tier, por su nombre en inglés: nivel o categoría de fiabilidad establecida por la Telecommunications Industry Association (TIA) bajo el estándar ANSI/TIA-942 para los centros de procesamiento de datos. 2.6. Plan de contingencia: conjunto de acciones y recursos para responder a las fallas e interrupciones específicas de un sistema o proceso. Forma parte del PCN. 2.7. Plan de continuidad del negocio (PCN): conjunto detallado de acciones, procedimientos, sistemas y demás recursos necesarios previstos para responder a incidentes e interrupciones, a fin de continuar la operación del negocio en un nivel aceptable, para cuya elaboración es parte fundamental el BIA. TITULO I – CAPÍTULO DÉCIMO SÉPTIMO Requerimientos mínimos para el procesamiento de información. Circular Externa de 2013 Página 2 XXXXX de 2013 SUPERINTENDENCIA FINANCIERA DE COLOMBIA 2.8. Procesos críticos: aquellos procesos sin los cuales se vería comprometida la calidad, continuidad y/o la sostenibilidad de los costos y procesos para desarrollo del objeto de la entidad vigilada. 2.9. Punto objetivo de recuperación (RPO, por su nombre en inglés Recovery Point Objective): es el punto objetivo de recuperación o máxima pérdida aceptable en cantidad de datos. 2.10. Tiempo objetivo de recuperación (RTO, por su nombre en inglés Recovery Time Objective): es el tiempo máximo en que las operaciones del negocio deben reiniciarse después de un evento. 3. Centros de Procesamiento de Datos (CPD) y Centros Alternos de Procesamiento de Datos (CAPD) Las entidades vigiladas deberán contar con un Centro de Procesamiento de Datos (CPD) y, dependiendo de las actividades que desarrollen, del número de operaciones, del número de clientes, de los canales dispuestos para la prestación de servicios, de las interconexiones con otras entidades y, en particular, del RTO y el RPO que determinen, deberán contar adicionalmente con un Centro Alterno de Procesamiento de Datos (CAPD) o, en su defecto, con algún mecanismo alternativo que les permita procesar su información en un sitio diferente al CPD, cuando ello se requiera. Los siguientes son las condiciones mínimas que deben cumplir las entidades vigiladas en el uso de CPD y/o de CAPD: 3.1. Obligaciones generales 3.1.1. Dentro de los criterios para seleccionar el CPD o el CAPD, las entidades vigiladas deben considerar si en ellos procesan su información otras entidades que operan en Colombia, con el propósito de evitar una indebida concentración del riesgo. 3.1.2. Contemplar dentro de sus sistemas de administración del riesgo operativo aquellos riesgos relacionados con el procesamiento de la información en un CPD o CAPD, independientemente de que estén ubicados en Colombia o en el exterior y sean centros propios o de un tercero. 3.1.3. Tener a disposición de la SFC la información de los indicadores y alarmas generadas. 3.1.4. Contar en Colombia con personal capacitado y códigos de acceso, con perfil de administrador, con todos los privilegios, para realizar las operaciones que se requieran sobre la plataforma tecnológica ubicada en el CPD y en el CAPD. 3.1.5. Las entidades relacionadas en el segundo párrafo del ámbito de aplicación deberán contar con un CAPD. 3.1.6. Contar con copias de respaldo (backup, por su nombre en inglés) de la información que se procesa en el CPD, actualizadas (considerando el RTO) y disponibles para los empleados en Colombia de la entidad vigilada. Las copias se deberán poder restaurar en el momento que se requiera. 3.1.7. Monitorear desde Colombia los equipos servidores, aplicaciones y redes de comunicación del CPD y del CAPD, para realizar o solicitar acciones preventivas o correctivas cuando se requiera. El monitoreo se debe realizar con herramientas automatizadas que muestren en tiempo real el rendimiento y estado de operación de los diferentes elementos que componen la plataforma tecnológica y que generen alarmas, indicadores y/o estadísticas (almacenamiento, procesamiento, ancho de banda de los canales, entre otros). TITULO I – CAPÍTULO DÉCIMO SÉPTIMO Requerimientos mínimos para el procesamiento de información. Circular Externa de 2013 Página 3 XXXXX de 2013 SUPERINTENDENCIA FINANCIERA DE COLOMBIA 3.1.8. Usar de manera exclusiva y sin compartir con otras entidades, los elementos asociados al procesamiento y almacenamiento de la información en el CPD y/o en el CAPD o mecanismo alternativo, relacionados en el numeral 4.1 de este capítulo. 3.1.9. Informar oportunamente a la dirección de correo electrónico [email protected] los incidentes que afecten la disponibilidad de la información necesaria para la prestación del servicio a los consumidores financieros, que se maneja en el CPD y en el CAPD. 3.1.10. Las entidades vigiladas con filiales en el exterior, deberán hacer un análisis para evaluar la conveniencia de implementar en sus filiales las instrucciones de este capítulo con el fin de mitigar el riesgo operativo. 3.2. Requerimientos mínimos para los CPD y CAPD Las entidades vigiladas deberán verificar que los CPD y los CAPD cumplan con los siguientes requerimientos mínimos: 3.2.1. Contar con soporte técnico con el fin de solucionar problemas o incidentes tan pronto se requiera. 3.2.2. Los CPD o CAPD deberán contar con un sistema de administración de riesgos operativos que contemple las siguientes etapas: identificación, medición, control y monitoreo de los riesgos, al igual que con un sistema de gestión de seguridad de la información. 3.2.3. El CPD de las entidades relacionadas en el segundo párrafo del ámbito de aplicación debe tomar como referencia los lineamientos establecidos en la norma técnica ANSI/TIA 942, Tier 3 o superior. 3.2.4. El CAPD de las entidades relacionadas en el segundo párrafo del ámbito de aplicación deberá tomar como referencia los lineamientos establecidos en la norma técnica ANSI/TIA 942, Tier 3 o superior y deberá estar separado al menos 50 km del CPD, previendo en todo caso que un acontecimiento externo no afectará de manera simultánea la operación del CPD y el CAPD. 3.2.5. Tanto los CPD como los CAPD deberán contar con canales de comunicación redundantes con la red de la entidad vigilada en Colombia absolutamente independientes de extremo a extremo, los cuales deberán usar rutas diferentes. Los canales de contingencia deberán tener el mismo ancho de banda que el principal. 3.2.6. El personal asignado para administrar los recursos informáticos utilizados para el procesamiento de la información en el CPD y en el CAPD deberá estar disponible de manera inmediata para atender cualquier actividad relacionada con sus funciones. 3.2.7. El CAPD debe tener la capacidad de soportar los procesos críticos de la entidad que se ejecutan en el CPD. 3.3 Documentación Las entidades vigiladas deberán cumplir las siguientes obligaciones y mantener actualizada y a disposición permanente de la SFC, los documentos que se relacionan a continuación: 3.3.1. La documentación completa de los procesos y procedimientos que se ejecutan en el CPD y en el CAPD o medio alternativo. TITULO I – CAPÍTULO DÉCIMO SÉPTIMO Requerimientos mínimos para el procesamiento de información. Circular Externa de 2013 Página 4 XXXXX de 2013 SUPERINTENDENCIA FINANCIERA DE COLOMBIA 3.3.2. Remitir a la SFC con al menos treinta (30) días de antelación al inicio del procesamiento de su información en un CPD o en un CAPD, la siguiente información: a) Nombre de la entidad con la cual se suscribirá el contrato para el uso del CPD o el CAPD. b) c) Ubicación física y geográfica del CPD o el CAPD. Copia del contrato suscrito con el administrador del CPD o CADP, con sus respectivos anexos. Principales características del CPD o el CAPD: Tier, disponibilidad, seguridad física y electrónica, redundancia de los sistemas de apoyo (energía, comunicaciones, condiciones ambientales, entre otros). Certificaciones obtenidas. Gestión del riesgo operativo y de la seguridad de la información asociados al procesamiento en el respectivo CPD o CAPD. d) e) f) Cuando se presenten cambios en esta información o que disminuyan la capacidad operativa del CPD y/o del CAPD, de tal manera que dificulten el cumplimiento por parte de la entidad vigilada de cualquiera de sus obligaciones legales frente a esta Superintendencia o frente a los consumidores financieros, tales cambios deberán ser informados oportunamente a la SFC, así como las medidas tomadas para superar tal situación. 3.3.3. Disponer en Colombia de una copia de los manuales de las aplicaciones que operan en el CPD o CAPD. 3.3.4. Contar con diagramas de red que permitan identificar los equipos de cómputo y equipos de comunicaciones del CPD y CAPD y la forma como están conectados con las distintas sedes de la entidad, así como con los terceros que atienden servicios en su nombre. 3.3.5. Contar con procedimientos para verificar el cumplimiento de los acuerdos y niveles de servicio establecidos por el CPD y el CAPD, dejando constancia de las evaluaciones realizadas y de los resultados obtenidos, las cuales se harán al menos cada año. 3.3.6. Llevar el registro de los eventos de riesgo operativo presentados en el CPD y/o el CAPD, que hubieran afectado el funcionamiento normal de los sistemas de información de la entidad y confirmar la implementación de los planes establecidos para su mitigación. 3.3.7. Llevar un registro actualizado de los equipos, aplicaciones y elementos de comunicaciones que operan en el CPD o CAPD, describiendo para cada uno de ellos, las características técnicas, su función y los procesos, productos o servicios del negocio que soporta. 3.4. Acuerdos o contratos de servicio Los acuerdos o contratos de servicio que suscriban las entidades vigiladas con terceros para el procesamiento de la información en un CPD o CAPD deberán cumplir como mínimo con los siguientes requerimientos: 3.4.1. Cláusulas que establezcan que la entidad no puede delegar en el tercero la responsabilidad que le compete en la prestación de los servicios ni frente a las entidades de supervisión. 3.4.2. Condiciones y limitaciones bajo las cuales el tercero contratado puede a su vez subcontratar parte del servicio. En este caso, el subcontratista también deberá cumplir con todas las obligaciones establecidas en este capítulo y, en particular, contar con un sistema de administración de riesgos operativos que contemple las TITULO I – CAPÍTULO DÉCIMO SÉPTIMO Requerimientos mínimos para el procesamiento de información. Circular Externa de 2013 Página 5 XXXXX de 2013 SUPERINTENDENCIA FINANCIERA DE COLOMBIA siguientes etapas: identificación, medición, control y monitoreo de los riesgos, al igual que con un sistema de gestión de seguridad de la información 3.4.3. La facultad de la entidad vigilada de realizar evaluaciones para verificar el cumplimiento de las obligaciones y responsabilidades asumidas por el CPD y el CAPD. 3.4.4. Cláusulas que garanticen que, en el evento de toma de posesión, la SFC, Fogafin o quienes ellas designen, pueda acceder a la información, y que hagan viable la administración de los sistemas de información que operan en el CPD y en el CAPD por parte de dichas entidades. Para tal efecto, la entidad deberá definir los respectivos procedimientos y adjuntarlos a los documentos señalados en el numeral 3.3.2. que debe entregar a la SFC. 3.4.5. Garantizar la continuidad en la prestación del servicio después de adoptada la toma de posesión durante el tiempo que sea necesario para que la entidad siga operando. 3.4.6. La obligación por parte del CPD o CAPD de informar oportunamente a la entidad vigilada contratante sobre cualquier evento o situación que pudiera llegar a afectar la prestación del servicio y, por ende, el cumplimiento por parte de la vigilada de sus obligaciones frente a los consumidores financieros a esta Superintendencia y a otros entes de control. 3.4.7. La posibilidad de que la SFC pueda verificar las condiciones de operación del CPD y el CAPD, cuando lo considere necesario, realizando visitas de inspección. 3.4.8. Estipulaciones que permitan dar cumplimiento a los requerimientos señalados en el numeral 3.2.2 del Capítulo XII del Título Primero de la Circular Básica Jurídica. referidos a la Tercerización – Outsourcing. 3.4.9. Cláusulas que establezcan la jurisdicción que los regirá, la normatividad aplicable y los procedimientos para dirimir controversias. 3.5. Requerimientos adicionales para los CPD y CAPD que operen fuera de Colombia Las entidades vigiladas que procesen su información en un CPD y/o en un CAPD que se encuentre(n) en el exterior, además de cumplir dentro del ámbito de aplicación de este capítulo con lo dispuesto en los numerales 3.1, 3.2, 3.3 y 3.4, tendrán adicionalmente a su cargo las siguientes obligaciones: 3.5.1. Verificar que los CPD y/o CAPD ubicado(s) en el exterior esté(n) en jurisdicciones que tengan como mínimo una calificación de riesgo país BBB- o superior que cuenten con normas de protección de datos. Las entidades vigiladas que operen con CPD y/o CAPD en países que pierdan la categoría de grado de inversión por dos años consecutivos, deberán trasladar, dentro de los tres años siguientes, los respectivos centros a Colombia o a países que cumplan con la condición señalada anteriormente. Esta previsión deberá ser estipulada en el acuerdo o contrato de servicio. 3.5.2. Incluir dentro de las políticas de seguridad de la información de la entidad vigilada las relacionadas con el procesamiento de datos en el exterior. 3.5.3. Gestionar los riesgos operativos derivados de realizar la operación fuera del país. 3.5.4. Remitir, junto con la documentación solicitada en el numeral 3.3.2 de este capítulo, la siguiente información de la jurisdicción donde está ubicado el CPD o CAPD: a) Normas de Habeas Data y el modelo de protección de datos del país. TITULO I – CAPÍTULO DÉCIMO SÉPTIMO Requerimientos mínimos para el procesamiento de información. Circular Externa de 2013 Página 6 XXXXX de 2013 SUPERINTENDENCIA FINANCIERA DE COLOMBIA b) c) Normas que penalizan el acceso indebido a sistemas informáticos, los daños informáticos, la suplantación de sitios Web, el hurto informático y, en general, los atentados contra la confidencialidad, integridad y disponibilidad de los datos y de los sistemas informáticos. Documento idóneo que demuestre la existencia y representación legal de las personas jurídicas con los cuales la Entidad Vigilada en Colombia suscriba el acuerdo o contrato de servicio de CPD y/o CAPD, estableciendo en todo caso que esos terceros tengan las autorizaciones legales exigidas por las autoridades con jurisdicción en el domicilio social para desarrollar el objeto contractual previsto. 4. Centros de servicios compartidos (CSC) 4.1. En adición a lo establecido en el numeral 3 de este capítulo, las entidades vigiladas por la SFC, que se apoyen en CSC para la gestión de las tecnologías de la información y las comunicaciones, deben manejar de manera independiente los siguientes elementos asociados a la ejecución de sus procesos misionales y su gestión financiera: a) b) c) d) e) Bases de datos donde reside la información. Dispositivos de almacenamiento de las bases de datos. Equipos servidores del ambiente de producción. Copias de respaldo (backup) de la información. Credenciales de autenticación que permitan el acceso a los recursos y a la información de la entidad. Los procedimientos y las tareas definidas para la administración de la información. f) 4.2. Las entidades vigiladas que gestionen su tecnología en CSC deberán suscribir acuerdos o contratos de servicio que, en adición a lo dispuesto en el numeral 3.4 contengan disposiciones que permitan cumplir con los requerimientos establecidos en el Título 1, Capítulo XII, Numeral 3.2 de la Circular Básica Jurídica (Tercerización – Outsourcing). 4.3. Las entidades vigiladas deben verificar que los CSC cuenten con los recursos técnicos, administrativos, humanos y demás que sean necesarios para asegurar la prestación de sus servicios a los consumidores financieros de manera eficiente, segura y oportuna. 5. Administración de la continuidad del negocio Adicional a lo definido en el numeral 3.1.3.1 del Capítulo XXIII de la Circular Básica Contable y Financiera, se debe dar cumplimiento a lo siguiente: 5.1. Plan de contingencia y continuidad del negocio Las entidades señaladas en el segundo párrafo del ámbito de aplicación de este capítulo deberán cumplir con los siguientes requerimientos mínimos: 5.1.1. En el BIA deberán dar especial importancia a los riesgos operativos que afecten la interacción con las demás entidades financieras, en particular, a aquellos que puedan tener un efecto sistémico o de contagio en el mercado. 5.1.2. Contar con planes de contingencia y continuidad del negocio que permitan que sus sistemas centrales vuelvan a estar disponibles para continuar la prestación de los servicios a lo sumo dos (2) horas después de haberse presentado el evento que los afectó. Las entidades deberán propender porque las interrupciones en dichos sistemas no superen las cuatro horas al año. 5.2. Pruebas de contingencia y continuidad del negocio Las entidades relacionadas en el segundo párrafo del ámbito de aplicación y las que procesen su información fuera de Colombia deberán: TITULO I – CAPÍTULO DÉCIMO SÉPTIMO Requerimientos mínimos para el procesamiento de información. Circular Externa de 2013 Página 7 XXXXX de 2013 SUPERINTENDENCIA FINANCIERA DE COLOMBIA 5.2.1. Operar al menos una vez al año desde el CAPD. 5.2.2. Informar a la SFC, a más tardar el 1 de abril de cada año, los escenarios y los resultados de las pruebas realizadas a los planes de contingencia y continuidad del negocio, así como los planes de acción establecidos para superar las dificultades presentadas. TITULO I – CAPÍTULO DÉCIMO SÉPTIMO Requerimientos mínimos para el procesamiento de información. Circular Externa de 2013 Página 8 XXXXX de 2013 SUPERINTENDENCIA FINANCIERA DE COLOMBIA CAPITULO XXIII REGLAS RELATIVAS A LA ADMINISTRACIÓN DEL RIESGO OPERATIVO Página 3 2.6.1.6. Fallas tecnológicas Pérdidas derivadas de incidentes por fallas tecnológicas y de procesamiento de la información. 2.6.1.7. Ejecución y administración de procesos Pérdidas derivadas de errores en la ejecución y administración de los procesos. 2.7. Sistema de Administración de Riesgo Operativo (SARO) Conjunto de elementos tales como políticas, procedimientos, documentación, estructura organizacional, registro de eventos de riesgo operativo, órganos de control, plataforma tecnológica, divulgación de información y capacitación, mediante los cuales las entidades vigiladas identifican, miden, controlan y monitorean el riesgo operativo. 2.8. Riesgo inherente Nivel de riesgo propio de la actividad, sin tener en cuenta el efecto de los controles. 2.9. Riesgo residual Nivel resultante del riesgo después de aplicar los controles. 2.10. Plan de continuidad del negocio Conjunto detallado de acciones que describen los procedimientos, los sistemas y los recursos necesarios para retornar y continuar la operación, en caso de interrupción. 2.11. Plan de contingencia Conjunto de acciones y recursos para responder a las fallas e interrupciones específicas de un sistema o proceso. 2.12. Manual de Riesgo Operativo Es el documento contentivo de todas las políticas, objetivos, estructura organizacional, estrategias, los procesos y procedimientos aplicables en el desarrollo, implementación y seguimiento del SARO. 2.13. La Unidad de Riesgo Operativo Se entiende por Unidad de Riesgo Operativo el área o cargo, designada por el Representante Legal de la entidad, que debe coordinar la puesta en marcha y seguimiento del SARO. 3. Sistema de Administración del Riesgo Operativo (SARO) Previo a la implementación de las etapas del SARO, las entidades deben establecer las políticas, objetivos, procedimientos y estructura para la administración de riesgo operativo. El sistema debe estar alineado con los planes estratégicos de cada entidad. 3.1. Etapas de la Administración del Riesgo Operativo En la administración del riesgo operativo, las entidades deben desarrollar las siguientes etapas: 3.1.1. Identificación En desarrollo del SARO las entidades deben identificar los riesgos operativos a que se ven expuestas, teniendo en cuenta los factores de riesgo definidos en este capítulo. Para identificar el riesgo las entidades deben como mínimo: a) Identificar y documentar la totalidad de los procesos. b) Establecer metodologías de identificación, que sean aplicables a los procesos, con el fin de determinar los riesgos operativos. c) Con base en las metodologías establecidas en desarrollo del literal b) del numeral 3.1.1 del presente capítulo, identificar los riesgos operativos, potenciales y ocurridos, en cada uno de los procesos. d) La etapa de identificación debe realizarse previamente a la implementación o modificación de cualquier proceso, así como en los casos de fusión, adquisición, cesión de activos, pasivos y contratos, entre otros. 3.1.2. Medición Circular Externa de 2013 XXXXX de 2013 SUPERINTENDENCIA FINANCIERA DE COLOMBIA CAPITULO XXIII REGLAS RELATIVAS A LA ADMINISTRACIÓN DEL RIESGO OPERATIVO Página 4 Una vez concluida la etapa de identificación, las entidades deben medir la probabilidad de ocurrencia de los riesgos operativos y su impacto en caso de materializarse. Esta medición podrá ser cualitativa y, cuando se cuente con datos históricos, cuantitativa. Para la determinación de la probabilidad se debe considerar un horizonte de tiempo de un año. En el proceso de medición de los riesgos operativos, las entidades deben desarrollar, como mínimo, los siguientes pasos: a) Establecer la metodología de medición individual y consolidada susceptible de aplicarse a los riesgos operativos identificados. La metodología debe ser aplicable tanto a la probabilidad de ocurrencia como al impacto. b) Aplicar la metodología establecida en desarrollo del literal a) del numeral 3.1.2 del presente capítulo para lograr una medición de la probabilidad de ocurrencia y del impacto de los riesgos operativos en la totalidad de los procesos de la entidad, conforme a la clasificación establecida en el numeral 2.6.1. c) Determinar el perfil de riesgo inherente de la entidad. 3.1.3. Control Las entidades deben tomar medidas para controlar los riesgos inherentes a que se ven expuestas con el fin de disminuir la probabilidad de ocurrencia y/o el impacto en caso de que se materialicen. Durante esta etapa las entidades deben como mínimo: a) Establecer la metodología con base en la cual definan las medidas de control de los riesgos operativos. b) De acuerdo con la metodología establecida en desarrollo del literal a) del numeral 3.1.3 del presente capítulo, implementar las medidas de control sobre cada uno de los riesgos operativos. c) Determinar las medidas que permitan asegurar la continuidad del negocio. d) Estar en capacidad de determinar el perfil de riesgo residual de la entidad. Sin perjuicio de lo anterior, las entidades podrán decidir si transfieren, aceptan o evitan el riesgo, en los casos en que esto sea posible. La utilización de ciertas medidas, como la contratación de un seguro o tercerización (outsourcing), puede ser fuente generadora de otros riesgos operativos, los cuales deben ser a su vez administrados. 3.1.3.1. Administración de la continuidad del negocio Las entidades vigiladas deben definir, implementar, probar y mantener un proceso para administrar la continuidad del negocio que incluya elementos como: prevención y atención de emergencias, administración de la crisis, planes de contingencia y capacidad de retorno a la operación normal. En la administración de la continuidad del negocio las entidades vigiladas deben cumplir, como mínimo, con los siguientes requisitos: 3.1.3.1.1. Plan de contingencia y continuidad del negocio Las entidades vigiladas deben elaborar un plan de continuidad del negocio, el cual debe contar, como mínimo, con los siguientes elementos: 3.1.3.1.1.1. Una estructura organizacional adecuada para la atención de contingencias, con responsables que tengan las atribuciones suficientes para tomar decisiones y actuar de manera eficaz y oportuna. 3.1.3.1.1.2. Canales y protocolos de comunicación internos y externos, claramente definidos, que faciliten la activación del plan y el retorno a la operación normal, de una manera eficiente y coordinada. 3.1.3.1.1.3. Funcionarios debidamente capacitados y preparados para desarrollar sus actividades cuando se opere en contingencia y para ejecutar las actividades necesarias que permitan el retorno a la operación normal. 3.1.3.1.1.4. El Análisis de Impacto del Negocio (BIA, por su sigla en inglés) que determina las consecuencias que puede tener para la entidad la interrupción en la operación normal de sus procesos. 3.1.3.1.1.5. Las estrategias definidas para continuar la ejecución de los procesos en una situación contingente. Para tal efecto, se debe evaluar la conveniencia de contar con más de una alternativa para operar cuando no sea posible funcionar con las inicialmente seleccionadas, las cuales deberán responder al tiempo objetivo de recuperación (RTO, por su nombre en inglés Circular Externa de 2013 XXXXX de 2013 SUPERINTENDENCIA FINANCIERA DE COLOMBIA CAPITULO XXIII REGLAS RELATIVAS A LA ADMINISTRACIÓN DEL RIESGO OPERATIVO Página 4-1 Recovery Time Objective) y el punto objetivo de recuperación (RPO, por su nombre en inglés Recovery Point Objective) definidos por la entidad. 3.1.3.1.1.6. Los procesos y los procedimientos a ejecutar para la reanudación de las operaciones en situación contingente. 3.1.3.1.1.7. Los procesos y procedimientos bajo los cuales se operará en situación contingente, identificando con claridad qué servicios se verían afectados bajo esta modalidad de funcionamiento, el nivel mínimo aceptable de operación, las condiciones de seguridad y control adoptadas, así como el cumplimiento de las obligaciones contractuales y normativas. 3.1.3.1.1.8. Las condiciones, estrategias y procedimientos para regresar a la operación normal. 3.1.3.1.1.9. Los recursos humanos, técnicos, financieros, logísticos y cualquier otro necesario para operar bajo las diferentes alternativas contingentes, tales como: centro alterno de procesamiento de datos (CAPD), centros alternos de operación, Call o Contact Center alterno, mesas de dinero alternas, alta disponibilidad, copias de respaldo, medios de transporte y dinero. 3.1.3.1.1.10. Los procesos y procedimientos para administrar el riesgo legal y reputacional generado por la interrupción en la prestación del servicio. 3.1.3.1.1.11. Las estrategias para dar a conocer a las partes interesadas, en forma anticipada, la manera como se desarrollarán las actividades durante la contingencia. 3.1.3.1.2. Pruebas de contingencia y continuidad del negocio. 3.1.3.1.2.1. Las entidades deberán realizar al menos una vez al año pruebas integrales a sus planes de contingencia y continuidad del negocio para confirmar su eficacia y oportunidad. 3.1.3.1.2.2. En la realización de las pruebas de continuidad deberán participar los terceros que apoyan la ejecución de los procesos misionales de la entidad. 3.1.3.1.2.3. Consolidar la estrategia de continuidad del negocio con la realización de pruebas cada vez más exigentes y completas que consideren los diferentes riesgos que puedan afectar la operación de la entidad y las distintas alternativas planteadas para continuar con la prestación de los servicios. 3.1.3.1.2.4. La identificación de los riesgos que pueden afectar a la entidad cuando opere en una situación contingente. 3.1.3.1.2.5. Tener a disposición de esta Superintendencia los soportes de las pruebas realizadas en los cuales se evidencie el objetivo de la prueba, los datos utilizados, los resultados esperados, los resultados obtenidos y los planes de acción para superar las dificultades presentadas. 3.1.4. Monitoreo Las entidades deben hacer un monitoreo periódico del perfil de riesgo y de la exposición a pérdidas. Para el efecto, éstas deben cumplir, como mínimo, con los siguientes requisitos: a) Desarrollar un proceso de seguimiento efectivo, que facilite la rápida detección y corrección de las deficiencias en el SARO. Dicho seguimiento debe tener una periodicidad acorde con los riesgos operativos potenciales y ocurridos, así como con la frecuencia y naturaleza de los cambios en el entorno operativo. En cualquier caso, el seguimiento debe realizarse con una periodicidad mínima semestral. b) Establecer indicadores descriptivos y/o prospectivos que evidencien los potenciales riesgos operativos. c) Asegurar que los controles estén funcionando en forma oportuna, efectiva y eficiente. Circular Externa de 2013 XXXXX de 2013