BOLETÍN INFORMATIVO No. 238 Bogotá D.C., 15 de noviembre de

Anuncio
BOLETÍN INFORMATIVO
No. 238
Bogotá D.C., 15 de noviembre de 2013
02.
NORMAS SOBRE EL MERCADO DE VALORES Y DEL SECTOR
FINANCIERO
Por considerarlo de su interés, les informamos que la Superintendencia
Financiera de Colombia publicó para comentarios el Proyecto de Circular
Externa por medio del cual se imparten instrucciones en materia de
requerimientos mínimos para el procesamiento de información.
El Proyecto tiene como propósito incorporar instrucciones relacionadas con
centros de procesamiento de datos, garantizar la independencia de la
información en los centros de servicios compartidos, mejorar los
requerimientos específicos para los planes de contingencia y continuidad del
negocio de las entidades vigiladas. Adicionalmente, establece el régimen de
transición para que las entidades vigiladas cumplan con los requerimientos, el
cual inicia el primero de abril de 2015 y finaliza el primero de octubre de 2017.
El plazo para comentarios vence el 22 de noviembre a las 5:00pm y los
mismos
deben
ser
remitidos
a
[email protected],
[email protected] o [email protected].
A continuación se publica el Proyecto de Circular Externa en mención y sus
respectivos anexos.
Firmado digitalmente por
Vicepresidencia Jurídica
Nombre de reconocimiento (DN):
cn=Vicepresidencia Jurídica,
o=Bolsa de Valores de Colombia
S.A., ou=Vicepresidencia Jurídica,
[email protected], c=CO
Fecha: 2013.11.15 16:44:08 -05'00'
PROFORMA INTERNA
E-PI-DDS-002
PUBLICACIÓN PARA COMENTARIOS
Versión 1
Se publica para comentarios del público el siguiente:
PROYECTO DE CIRCULAR EXTERNA: Por medio de la cual se imparten
instrucciones en materia de requerimientos mínimos para el procesamiento
de información.
PROPÓSITO: Incorporar instrucciones relacionadas con centros de
procesamiento de datos, garantizar la independencia de la información en los
centros de servicios compartidos, mejorar los requerimientos específicos
para los planes de contingencia y continuidad del negocio de las entidades
vigiladas.
PLAZO PARA COMENTARIOS: Hasta las 5:00 pm del viernes 22 de
noviembre de 2013.
RECIBIMOS SU COMENTARIOS:
VIA E- MAIL:
[email protected]
[email protected]
[email protected]
POR ESCRITO A: Diana Rocío Castañeda Suárez
Subdirectora de Coordinación Normativa
Superintendencia Financiera de Colombia
Calle 7 No. 4 – 49 Of. 507 Zona B.
Bogotá, D.C.
* Consulte en este archivo el texto del proyecto de
Circular Externa
SUPERINTENDENCIA FINANCIERA DE COLOMBIA
CIRCULAR EXTERNA
(
DE 2013
)
Señores
REPRESENTANTES LEGALES Y REVISORES FISCALES DE LAS ENTIDADES
VIGILADAS
Referencia: Instrucciones en materia de requerimientos mínimos para el
procesamiento de información.
Apreciados señores:
Este Despacho en ejercicio de sus facultades, en especial las conferidas en el
numeral 9 del artículo 11.2.1.4.2. del Decreto 2555 de 2010, considera necesario
impartir instrucciones relacionadas con los requerimientos mínimos que deben
atender las entidades vigiladas para el procesamiento de información, la
tercerización de operaciones y la administración del riesgo operativo. Para el efecto
este Despacho ha considerado conveniente:
Primero: Adicionar al Título Primero de la Circular Básica Jurídica el Capítulo XVII
“Requerimientos mínimos para el procesamiento de información”, mediante el cual
se imparten instrucciones para el procesamiento de información en centros de
procesamiento de datos, centros alternos de procesamiento de datos, centros de
servicios compartidos y la administración de la continuidad del negocio para algunas
entidades vigiladas.
Segundo: Modificar el numeral 3.1.3.1 “Administración de la continuidad del
negocio” del Capítulo XXIII de la Circular Básica Contable y Financiera, mediante el
cual se imparten instrucciones relacionadas con los planes de contingencia y
continuidad del negocio.
Régimen de transición: Para la implementación de los requerimientos señalados
en la presente circular, las entidades vigiladas deberán observar las fechas y
obligaciones que se establecen a continuación:
1. A más tardar el primero (1°) de abril de 2015 las entidades deben dar
cumplimiento a lo dispuesto en los subnumerales 3.1.5, 3.1.8, 3.2.5, 3.2.7, 4,
5.1.2 del capítulo XVII del Título Primero de la Circular Básica Jurídica.
2. A más tardar el primero (1°) de abril de 2016 las entidades deben dar
cumplimiento a lo dispuesto en los subnumeral 3.2.3, 5.2.1 del capítulo XVII
del Título Primero de la Circular Básica Jurídica.
3. A más tardar el primero (1°) de octubre de 2017 las entidades deben dar
cumplimiento a lo dispuesto en el subnumeral 3.2.4 del capítulo XVII del
Título Primero de la Circular Básica Jurídica.
Se anexan las páginas correspondientes.
La presente Circular Externa rige a partir de la fecha de su publicación.
Cordialmente,
GERARDO HERNÁNDEZ CORREA
Superintendente Financiero de Colombia
050000
SUPERINTENDENCIA FINANCIERA DE COLOMBIA
CAPÍTULO DÉCIMO SÉPTIMO: REQUERIMIENTOS MÍNIMOS PARA EL
PROCESAMIENTO DE INFORMACIÓN
CONTENIDO
1.
Ámbito de aplicación.
2.
Definiciones.
3.
Centros de procesamiento de datos (CPD) y Centros Alternos de Procesamiento
de Datos (CAPD).
3.1.
3.2.
3.3.
3.4.
3.5.
Obligaciones generales.
Requerimientos de los CPD y CAPD.
Documentación.
Acuerdos o contratos de servicios.
Requerimientos adicionales para los CPD y CAPD que operen fuera de
Colombia.
4.
Centros de servicios compartidos (CSC).
5.
Administración de la continuidad del negocio.
TITULO I – CAPÍTULO DÉCIMO SÉPTIMO
Requerimientos mínimos para el procesamiento de información.
Circular Externa
de 2013
Página 1
XXXXX de 2013
SUPERINTENDENCIA FINANCIERA DE COLOMBIA
CAPITULO DÉCIMO SÉPTIMO: REQUERIMIENTOS MÍNIMOS PARA EL
PROCESAMIENTO DE INFORMACIÓN
1. Ámbito de aplicación
Las instrucciones de este capítulo, excepto lo dispuesto en el siguiente párrafo, deben ser
adoptadas por todas las entidades vigiladas por la Superintendencia Financiera de
Colombia (SFC), con excepción de las Oficinas de Representación de Instituciones
Financieras y reaseguradoras en el exterior, sociedades fiduciarias sin establecimiento de
comercio, del mercado de valores del exterior y organismos financieros del exterior sin
establecimiento de comercio.
Los numerales 3.1.5, 3.2.3 y 3.2.4 del presente capítulo deberán ser cumplidos
exclusivamente por las siguientes entidades: Establecimientos de Crédito, Aseguradoras,
Sociedades Fiduciarias, Sociedades Administradoras de Sistemas de Pago de Bajo Valor,
Sociedades Administradoras de Fondos de Pensiones y Cesantías, Bolsas de Valores,
Bolsas Agropecuarias, Sociedades Administradoras de Sistemas de Negociación y
Registro, Sociedades Comisionistas de las Bolsas de Valores, Sociedades
Administradoras de Inversión, Sociedades Administradoras de Depósitos Centralizados de
Valores, Cámaras de Compensación, Cámaras de Riesgo Central de Contraparte,
Proveedores de Precios, Fondo Nacional del Ahorro, Colpensiones y el Banco de la
República.
Sin perjuicio de lo anterior, las demás entidades podrán poner en práctica las
instrucciones contenidas en los numerales en mención, cuando lo consideren
conveniente.
2. Definiciones
Las siguientes definiciones se tendrán en cuenta para los fines de la presente circular.
2.1.
Análisis de Impacto del Negocio (BIA, por su nombre en inglés Business Impact
Analisis): estudio que determina cuáles son los procesos y recursos críticos para
la operación de la entidad y el impacto para la organización cuando se presenten
eventos que los afecten.
2.2.
Centro Alterno de Procesamiento de Datos (CAPD): lugar en donde se procesa la
información de una entidad cuando no es posible hacerlo en el CPD, el cual
puede ser de su propiedad o de un tercero.
2.3.
Centro de Procesamiento de Datos (CPD): lugar en donde se concentran los
recursos necesarios para el procesamiento de la información de una entidad, el
cual puede ser de su propiedad o de un tercero.
2.4.
Centro de Servicios Compartidos (CSC): es una unidad administrativa que se
encarga de gestionar procesos y actividades de soporte de varias entidades.
2.5.
Categoría Tier, por su nombre en inglés: nivel o categoría de fiabilidad
establecida por la Telecommunications Industry Association (TIA) bajo el
estándar ANSI/TIA-942 para los centros de procesamiento de datos.
2.6.
Plan de contingencia: conjunto de acciones y recursos para responder a las fallas
e interrupciones específicas de un sistema o proceso. Forma parte del PCN.
2.7.
Plan de continuidad del negocio (PCN): conjunto detallado de acciones,
procedimientos, sistemas y demás recursos necesarios previstos para responder
a incidentes e interrupciones, a fin de continuar la operación del negocio en un
nivel aceptable, para cuya elaboración es parte fundamental el BIA.
TITULO I – CAPÍTULO DÉCIMO SÉPTIMO
Requerimientos mínimos para el procesamiento de información.
Circular Externa
de 2013
Página 2
XXXXX de 2013
SUPERINTENDENCIA FINANCIERA DE COLOMBIA
2.8.
Procesos críticos: aquellos procesos sin los cuales se vería comprometida la
calidad, continuidad y/o la sostenibilidad de los costos y procesos para desarrollo
del objeto de la entidad vigilada.
2.9.
Punto objetivo de recuperación (RPO, por su nombre en inglés Recovery Point
Objective): es el punto objetivo de recuperación o máxima pérdida aceptable en
cantidad de datos.
2.10.
Tiempo objetivo de recuperación (RTO, por su nombre en inglés Recovery Time
Objective): es el tiempo máximo en que las operaciones del negocio deben
reiniciarse después de un evento.
3. Centros de Procesamiento de Datos (CPD) y Centros Alternos de Procesamiento
de Datos (CAPD)
Las entidades vigiladas deberán contar con un Centro de Procesamiento de Datos (CPD)
y, dependiendo de las actividades que desarrollen, del número de operaciones, del
número de clientes, de los canales dispuestos para la prestación de servicios, de las
interconexiones con otras entidades y, en particular, del RTO y el RPO que determinen,
deberán contar adicionalmente con un Centro Alterno de Procesamiento de Datos (CAPD)
o, en su defecto, con algún mecanismo alternativo que les permita procesar su
información en un sitio diferente al CPD, cuando ello se requiera.
Los siguientes son las condiciones mínimas que deben cumplir las entidades vigiladas en
el uso de CPD y/o de CAPD:
3.1.
Obligaciones generales
3.1.1. Dentro de los criterios para seleccionar el CPD o el CAPD, las entidades vigiladas
deben considerar si en ellos procesan su información otras entidades que operan
en Colombia, con el propósito de evitar una indebida concentración del riesgo.
3.1.2. Contemplar dentro de sus sistemas de administración del riesgo operativo aquellos
riesgos relacionados con el procesamiento de la información en un CPD o CAPD,
independientemente de que estén ubicados en Colombia o en el exterior y sean
centros propios o de un tercero.
3.1.3. Tener a disposición de la SFC la información de los indicadores y alarmas
generadas.
3.1.4. Contar en Colombia con personal capacitado y códigos de acceso, con perfil de
administrador, con todos los privilegios, para realizar las operaciones que se
requieran sobre la plataforma tecnológica ubicada en el CPD y en el CAPD.
3.1.5. Las entidades relacionadas en el segundo párrafo del ámbito de aplicación
deberán contar con un CAPD.
3.1.6. Contar con copias de respaldo (backup, por su nombre en inglés) de la
información que se procesa en el CPD, actualizadas (considerando el RTO) y
disponibles para los empleados en Colombia de la entidad vigilada. Las copias se
deberán poder restaurar en el momento que se requiera.
3.1.7. Monitorear desde Colombia los equipos servidores, aplicaciones y redes de
comunicación del CPD y del CAPD, para realizar o solicitar acciones preventivas o
correctivas cuando se requiera. El monitoreo se debe realizar con herramientas
automatizadas que muestren en tiempo real el rendimiento y estado de operación
de los diferentes elementos que componen la plataforma tecnológica y que
generen alarmas, indicadores y/o estadísticas (almacenamiento, procesamiento,
ancho de banda de los canales, entre otros).
TITULO I – CAPÍTULO DÉCIMO SÉPTIMO
Requerimientos mínimos para el procesamiento de información.
Circular Externa
de 2013
Página 3
XXXXX de 2013
SUPERINTENDENCIA FINANCIERA DE COLOMBIA
3.1.8. Usar de manera exclusiva y sin compartir con otras entidades, los elementos
asociados al procesamiento y almacenamiento de la información en el CPD y/o en
el CAPD o mecanismo alternativo, relacionados en el numeral 4.1 de este capítulo.
3.1.9. Informar
oportunamente
a
la
dirección
de
correo
electrónico
[email protected]
los
incidentes
que
afecten
la
disponibilidad de la información necesaria para la prestación del servicio a los
consumidores financieros, que se maneja en el CPD y en el CAPD.
3.1.10. Las entidades vigiladas con filiales en el exterior, deberán hacer un análisis para
evaluar la conveniencia de implementar en sus filiales las instrucciones de este
capítulo con el fin de mitigar el riesgo operativo.
3.2.
Requerimientos mínimos para los CPD y CAPD
Las entidades vigiladas deberán verificar que los CPD y los CAPD cumplan con los
siguientes requerimientos mínimos:
3.2.1. Contar con soporte técnico con el fin de solucionar problemas o incidentes tan
pronto se requiera.
3.2.2. Los CPD o CAPD deberán contar con un sistema de administración de riesgos
operativos que contemple las siguientes etapas: identificación, medición, control y
monitoreo de los riesgos, al igual que con un sistema de gestión de seguridad de
la información.
3.2.3. El CPD de las entidades relacionadas en el segundo párrafo del ámbito de
aplicación debe tomar como referencia los lineamientos establecidos en la norma
técnica ANSI/TIA 942, Tier 3 o superior.
3.2.4. El CAPD de las entidades relacionadas en el segundo párrafo del ámbito de
aplicación deberá tomar como referencia los lineamientos establecidos en la
norma técnica ANSI/TIA 942, Tier 3 o superior y deberá estar separado al menos
50 km del CPD, previendo en todo caso que un acontecimiento externo no afectará
de manera simultánea la operación del CPD y el CAPD.
3.2.5. Tanto los CPD como los CAPD deberán contar con canales de comunicación
redundantes con la red de la entidad vigilada en Colombia absolutamente
independientes de extremo a extremo, los cuales deberán usar rutas diferentes.
Los canales de contingencia deberán tener el mismo ancho de banda que el
principal.
3.2.6. El personal asignado para administrar los recursos informáticos utilizados para el
procesamiento de la información en el CPD y en el CAPD deberá estar disponible
de manera inmediata para atender cualquier actividad relacionada con sus
funciones.
3.2.7. El CAPD debe tener la capacidad de soportar los procesos críticos de la entidad
que se ejecutan en el CPD.
3.3 Documentación
Las entidades vigiladas deberán cumplir las siguientes obligaciones y mantener
actualizada y a disposición permanente de la SFC, los documentos que se relacionan a
continuación:
3.3.1. La documentación completa de los procesos y procedimientos que se ejecutan en
el CPD y en el CAPD o medio alternativo.
TITULO I – CAPÍTULO DÉCIMO SÉPTIMO
Requerimientos mínimos para el procesamiento de información.
Circular Externa
de 2013
Página 4
XXXXX de 2013
SUPERINTENDENCIA FINANCIERA DE COLOMBIA
3.3.2. Remitir a la SFC con al menos treinta (30) días de antelación al inicio del
procesamiento de su información en un CPD o en un CAPD, la siguiente
información:
a)
Nombre de la entidad con la cual se suscribirá el contrato para el uso del CPD o el
CAPD.
b)
c)
Ubicación física y geográfica del CPD o el CAPD.
Copia del contrato suscrito con el administrador del CPD o CADP, con sus
respectivos anexos.
Principales características del CPD o el CAPD: Tier, disponibilidad, seguridad
física y electrónica, redundancia de los sistemas de apoyo (energía,
comunicaciones, condiciones ambientales, entre otros).
Certificaciones obtenidas.
Gestión del riesgo operativo y de la seguridad de la información asociados al
procesamiento en el respectivo CPD o CAPD.
d)
e)
f)
Cuando se presenten cambios en esta información o que disminuyan la capacidad
operativa del CPD y/o del CAPD, de tal manera que dificulten el cumplimiento por parte de
la entidad vigilada de cualquiera de sus obligaciones legales frente a esta
Superintendencia o frente a los consumidores financieros, tales cambios deberán ser
informados oportunamente a la SFC, así como las medidas tomadas para superar tal
situación.
3.3.3. Disponer en Colombia de una copia de los manuales de las aplicaciones que
operan en el CPD o CAPD.
3.3.4. Contar con diagramas de red que permitan identificar los equipos de cómputo y
equipos de comunicaciones del CPD y CAPD y la forma como están conectados
con las distintas sedes de la entidad, así como con los terceros que atienden
servicios en su nombre.
3.3.5. Contar con procedimientos para verificar el cumplimiento de los acuerdos y niveles
de servicio establecidos por el CPD y el CAPD, dejando constancia de las
evaluaciones realizadas y de los resultados obtenidos, las cuales se harán al
menos cada año.
3.3.6. Llevar el registro de los eventos de riesgo operativo presentados en el CPD y/o el
CAPD, que hubieran afectado el funcionamiento normal de los sistemas de
información de la entidad y confirmar la implementación de los planes establecidos
para su mitigación.
3.3.7. Llevar un registro actualizado de los equipos, aplicaciones y elementos de
comunicaciones que operan en el CPD o CAPD, describiendo para cada uno de
ellos, las características técnicas, su función y los procesos, productos o servicios
del negocio que soporta.
3.4.
Acuerdos o contratos de servicio
Los acuerdos o contratos de servicio que suscriban las entidades vigiladas con terceros
para el procesamiento de la información en un CPD o CAPD deberán cumplir como
mínimo con los siguientes requerimientos:
3.4.1. Cláusulas que establezcan que la entidad no puede delegar en el tercero la
responsabilidad que le compete en la prestación de los servicios ni frente a las
entidades de supervisión.
3.4.2. Condiciones y limitaciones bajo las cuales el tercero contratado puede a su vez
subcontratar parte del servicio. En este caso, el subcontratista también deberá
cumplir con todas las obligaciones establecidas en este capítulo y, en particular,
contar con un sistema de administración de riesgos operativos que contemple las
TITULO I – CAPÍTULO DÉCIMO SÉPTIMO
Requerimientos mínimos para el procesamiento de información.
Circular Externa
de 2013
Página 5
XXXXX de 2013
SUPERINTENDENCIA FINANCIERA DE COLOMBIA
siguientes etapas: identificación, medición, control y monitoreo de los riesgos, al
igual que con un sistema de gestión de seguridad de la información
3.4.3. La facultad de la entidad vigilada de realizar evaluaciones para verificar el
cumplimiento de las obligaciones y responsabilidades asumidas por el CPD y el
CAPD.
3.4.4. Cláusulas que garanticen que, en el evento de toma de posesión, la SFC, Fogafin
o quienes ellas designen, pueda acceder a la información, y que hagan viable la
administración de los sistemas de información que operan en el CPD y en el CAPD
por parte de dichas entidades. Para tal efecto, la entidad deberá definir los
respectivos procedimientos y adjuntarlos a los documentos señalados en el
numeral 3.3.2. que debe entregar a la SFC.
3.4.5. Garantizar la continuidad en la prestación del servicio después de adoptada la
toma de posesión durante el tiempo que sea necesario para que la entidad siga
operando.
3.4.6. La obligación por parte del CPD o CAPD de informar oportunamente a la entidad
vigilada contratante sobre cualquier evento o situación que pudiera llegar a afectar
la prestación del servicio y, por ende, el cumplimiento por parte de la vigilada de
sus obligaciones frente a los consumidores financieros a esta Superintendencia y a
otros entes de control.
3.4.7. La posibilidad de que la SFC pueda verificar las condiciones de operación del CPD
y el CAPD, cuando lo considere necesario, realizando visitas de inspección.
3.4.8. Estipulaciones que permitan dar cumplimiento a los requerimientos señalados en
el numeral 3.2.2 del Capítulo XII del Título Primero de la Circular Básica Jurídica.
referidos a la Tercerización – Outsourcing.
3.4.9. Cláusulas que establezcan la jurisdicción que los regirá, la normatividad aplicable y
los procedimientos para dirimir controversias.
3.5.
Requerimientos adicionales para los CPD y CAPD que operen fuera de
Colombia
Las entidades vigiladas que procesen su información en un CPD y/o en un CAPD que se
encuentre(n) en el exterior, además de cumplir dentro del ámbito de aplicación de este
capítulo con lo dispuesto en los numerales 3.1, 3.2, 3.3 y 3.4, tendrán adicionalmente a su
cargo las siguientes obligaciones:
3.5.1. Verificar que los CPD y/o CAPD ubicado(s) en el exterior esté(n) en jurisdicciones
que tengan como mínimo una calificación de riesgo país BBB- o superior que
cuenten con normas de protección de datos. Las entidades vigiladas que operen
con CPD y/o CAPD en países que pierdan la categoría de grado de inversión por
dos años consecutivos, deberán trasladar, dentro de los tres años siguientes, los
respectivos centros a Colombia o a países que cumplan con la condición señalada
anteriormente. Esta previsión deberá ser estipulada en el acuerdo o contrato de
servicio.
3.5.2. Incluir dentro de las políticas de seguridad de la información de la entidad vigilada
las relacionadas con el procesamiento de datos en el exterior.
3.5.3. Gestionar los riesgos operativos derivados de realizar la operación fuera del país.
3.5.4. Remitir, junto con la documentación solicitada en el numeral 3.3.2 de este capítulo,
la siguiente información de la jurisdicción donde está ubicado el CPD o CAPD:
a)
Normas de Habeas Data y el modelo de protección de datos del país.
TITULO I – CAPÍTULO DÉCIMO SÉPTIMO
Requerimientos mínimos para el procesamiento de información.
Circular Externa
de 2013
Página 6
XXXXX de 2013
SUPERINTENDENCIA FINANCIERA DE COLOMBIA
b)
c)
Normas que penalizan el acceso indebido a sistemas informáticos, los daños
informáticos, la suplantación de sitios Web, el hurto informático y, en general, los
atentados contra la confidencialidad, integridad y disponibilidad de los datos y de
los sistemas informáticos.
Documento idóneo que demuestre la existencia y representación legal de las
personas jurídicas con los cuales la Entidad Vigilada en Colombia suscriba el
acuerdo o contrato de servicio de CPD y/o CAPD, estableciendo en todo caso que
esos terceros tengan las autorizaciones legales exigidas por las autoridades con
jurisdicción en el domicilio social para desarrollar el objeto contractual previsto.
4.
Centros de servicios compartidos (CSC)
4.1.
En adición a lo establecido en el numeral 3 de este capítulo, las entidades
vigiladas por la SFC, que se apoyen en CSC para la gestión de las tecnologías de
la información y las comunicaciones, deben manejar de manera independiente los
siguientes elementos asociados a la ejecución de sus procesos misionales y su
gestión financiera:
a)
b)
c)
d)
e)
Bases de datos donde reside la información.
Dispositivos de almacenamiento de las bases de datos.
Equipos servidores del ambiente de producción.
Copias de respaldo (backup) de la información.
Credenciales de autenticación que permitan el acceso a los recursos y a la
información de la entidad.
Los procedimientos y las tareas definidas para la administración de la información.
f)
4.2.
Las entidades vigiladas que gestionen su tecnología en CSC deberán suscribir
acuerdos o contratos de servicio que, en adición a lo dispuesto en el numeral 3.4
contengan disposiciones que permitan cumplir con los requerimientos establecidos
en el Título 1, Capítulo XII, Numeral 3.2 de la Circular Básica Jurídica
(Tercerización – Outsourcing).
4.3.
Las entidades vigiladas deben verificar que los CSC cuenten con los recursos
técnicos, administrativos, humanos y demás que sean necesarios para asegurar la
prestación de sus servicios a los consumidores financieros de manera eficiente,
segura y oportuna.
5.
Administración de la continuidad del negocio
Adicional a lo definido en el numeral 3.1.3.1 del Capítulo XXIII de la Circular Básica
Contable y Financiera, se debe dar cumplimiento a lo siguiente:
5.1.
Plan de contingencia y continuidad del negocio
Las entidades señaladas en el segundo párrafo del ámbito de aplicación de este capítulo
deberán cumplir con los siguientes requerimientos mínimos:
5.1.1. En el BIA deberán dar especial importancia a los riesgos operativos que afecten la
interacción con las demás entidades financieras, en particular, a aquellos que
puedan tener un efecto sistémico o de contagio en el mercado.
5.1.2. Contar con planes de contingencia y continuidad del negocio que permitan que sus
sistemas centrales vuelvan a estar disponibles para continuar la prestación de los
servicios a lo sumo dos (2) horas después de haberse presentado el evento que
los afectó. Las entidades deberán propender porque las interrupciones en dichos
sistemas no superen las cuatro horas al año.
5.2.
Pruebas de contingencia y continuidad del negocio
Las entidades relacionadas en el segundo párrafo del ámbito de aplicación y las que
procesen su información fuera de Colombia deberán:
TITULO I – CAPÍTULO DÉCIMO SÉPTIMO
Requerimientos mínimos para el procesamiento de información.
Circular Externa
de 2013
Página 7
XXXXX de 2013
SUPERINTENDENCIA FINANCIERA DE COLOMBIA
5.2.1. Operar al menos una vez al año desde el CAPD.
5.2.2. Informar a la SFC, a más tardar el 1 de abril de cada año, los escenarios y los
resultados de las pruebas realizadas a los planes de contingencia y continuidad
del negocio, así como los planes de acción establecidos para superar las
dificultades presentadas.
TITULO I – CAPÍTULO DÉCIMO SÉPTIMO
Requerimientos mínimos para el procesamiento de información.
Circular Externa
de 2013
Página 8
XXXXX de 2013
SUPERINTENDENCIA FINANCIERA DE COLOMBIA
CAPITULO XXIII REGLAS RELATIVAS A LA ADMINISTRACIÓN DEL RIESGO OPERATIVO
Página 3
2.6.1.6. Fallas tecnológicas
Pérdidas derivadas de incidentes por fallas tecnológicas y de procesamiento de la información.
2.6.1.7. Ejecución y administración de procesos
Pérdidas derivadas de errores en la ejecución y administración de los procesos.
2.7.
Sistema de Administración de Riesgo Operativo (SARO)
Conjunto de elementos tales como políticas, procedimientos, documentación, estructura organizacional, registro de
eventos de riesgo operativo, órganos de control, plataforma tecnológica, divulgación de información y capacitación,
mediante los cuales las entidades vigiladas identifican, miden, controlan y monitorean el riesgo operativo.
2.8.
Riesgo inherente
Nivel de riesgo propio de la actividad, sin tener en cuenta el efecto de los controles.
2.9.
Riesgo residual
Nivel resultante del riesgo después de aplicar los controles.
2.10. Plan de continuidad del negocio
Conjunto detallado de acciones que describen los procedimientos, los sistemas y los recursos necesarios para
retornar y continuar la operación, en caso de interrupción.
2.11. Plan de contingencia
Conjunto de acciones y recursos para responder a las fallas e interrupciones específicas de un sistema o proceso.
2.12. Manual de Riesgo Operativo
Es el documento contentivo de todas las políticas, objetivos, estructura organizacional, estrategias, los procesos y
procedimientos aplicables en el desarrollo, implementación y seguimiento del SARO.
2.13. La Unidad de Riesgo Operativo
Se entiende por Unidad de Riesgo Operativo el área o cargo, designada por el Representante Legal de la entidad,
que debe coordinar la puesta en marcha y seguimiento del SARO.
3.
Sistema de Administración del Riesgo Operativo (SARO)
Previo a la implementación de las etapas del SARO, las entidades deben establecer las políticas, objetivos,
procedimientos y estructura para la administración de riesgo operativo. El sistema debe estar alineado con los
planes estratégicos de cada entidad.
3.1. Etapas de la Administración del Riesgo Operativo
En la administración del riesgo operativo, las entidades deben desarrollar las siguientes etapas:
3.1.1. Identificación
En desarrollo del SARO las entidades deben identificar los riesgos operativos a que se ven expuestas, teniendo en
cuenta los factores de riesgo definidos en este capítulo.
Para identificar el riesgo las entidades deben como mínimo:
a)
Identificar y documentar la totalidad de los procesos.
b)
Establecer metodologías de identificación, que sean aplicables a los procesos, con el fin de determinar los
riesgos operativos.
c)
Con base en las metodologías establecidas en desarrollo del literal b) del numeral 3.1.1 del presente
capítulo, identificar los riesgos operativos, potenciales y ocurridos, en cada uno de los procesos.
d)
La etapa de identificación debe realizarse previamente a la implementación o modificación de cualquier
proceso, así como en los casos de fusión, adquisición, cesión de activos, pasivos y contratos, entre otros.
3.1.2. Medición
Circular Externa
de 2013
XXXXX de 2013
SUPERINTENDENCIA FINANCIERA DE COLOMBIA
CAPITULO XXIII REGLAS RELATIVAS A LA ADMINISTRACIÓN DEL RIESGO OPERATIVO
Página 4
Una vez concluida la etapa de identificación, las entidades deben medir la probabilidad de ocurrencia de los riesgos
operativos y su impacto en caso de materializarse. Esta medición podrá ser cualitativa y, cuando se cuente con datos
históricos, cuantitativa. Para la determinación de la probabilidad se debe considerar un horizonte de tiempo de un
año.
En el proceso de medición de los riesgos operativos, las entidades deben desarrollar, como mínimo, los siguientes
pasos:
a)
Establecer la metodología de medición individual y consolidada susceptible de aplicarse a los riesgos
operativos identificados. La metodología debe ser aplicable tanto a la probabilidad de ocurrencia como al
impacto.
b)
Aplicar la metodología establecida en desarrollo del literal a) del numeral 3.1.2 del presente capítulo para
lograr una medición de la probabilidad de ocurrencia y del impacto de los riesgos operativos en la totalidad
de los procesos de la entidad, conforme a la clasificación establecida en el numeral 2.6.1.
c)
Determinar el perfil de riesgo inherente de la entidad.
3.1.3. Control
Las entidades deben tomar medidas para controlar los riesgos inherentes a que se ven expuestas con el fin de
disminuir la probabilidad de ocurrencia y/o el impacto en caso de que se materialicen.
Durante esta etapa las entidades deben como mínimo:
a)
Establecer la metodología con base en la cual definan las medidas de control de los riesgos operativos.
b)
De acuerdo con la metodología establecida en desarrollo del literal a) del numeral 3.1.3 del presente
capítulo, implementar las medidas de control sobre cada uno de los riesgos operativos.
c)
Determinar las medidas que permitan asegurar la continuidad del negocio.
d)
Estar en capacidad de determinar el perfil de riesgo residual de la entidad.
Sin perjuicio de lo anterior, las entidades podrán decidir si transfieren, aceptan o evitan el riesgo, en los casos en
que esto sea posible.
La utilización de ciertas medidas, como la contratación de un seguro o tercerización (outsourcing), puede ser fuente
generadora de otros riesgos operativos, los cuales deben ser a su vez administrados.
3.1.3.1. Administración de la continuidad del negocio
Las entidades vigiladas deben definir, implementar, probar y mantener un proceso para administrar la continuidad
del negocio que incluya elementos como: prevención y atención de emergencias, administración de la crisis, planes
de contingencia y capacidad de retorno a la operación normal.
En la administración de la continuidad del negocio las entidades vigiladas deben cumplir, como mínimo, con los
siguientes requisitos:
3.1.3.1.1.
Plan de contingencia y continuidad del negocio
Las entidades vigiladas deben elaborar un plan de continuidad del negocio, el cual debe contar, como
mínimo, con los siguientes elementos:
3.1.3.1.1.1.
Una estructura organizacional adecuada para la atención de contingencias, con responsables
que tengan las atribuciones suficientes para tomar decisiones y actuar de manera eficaz y
oportuna.
3.1.3.1.1.2.
Canales y protocolos de comunicación internos y externos, claramente definidos, que faciliten
la activación del plan y el retorno a la operación normal, de una manera eficiente y coordinada.
3.1.3.1.1.3.
Funcionarios debidamente capacitados y preparados para desarrollar sus actividades cuando
se opere en contingencia y para ejecutar las actividades necesarias que permitan el retorno a la
operación normal.
3.1.3.1.1.4.
El Análisis de Impacto del Negocio (BIA, por su sigla en inglés) que determina las
consecuencias que puede tener para la entidad la interrupción en la operación normal de sus
procesos.
3.1.3.1.1.5.
Las estrategias definidas para continuar la ejecución de los procesos en una situación
contingente. Para tal efecto, se debe evaluar la conveniencia de contar con más de una
alternativa para operar cuando no sea posible funcionar con las inicialmente seleccionadas, las
cuales deberán responder al tiempo objetivo de recuperación (RTO, por su nombre en inglés
Circular Externa
de 2013
XXXXX de 2013
SUPERINTENDENCIA FINANCIERA DE COLOMBIA
CAPITULO XXIII REGLAS RELATIVAS A LA ADMINISTRACIÓN DEL RIESGO OPERATIVO
Página 4-1
Recovery Time Objective) y el punto objetivo de recuperación (RPO, por su nombre en inglés
Recovery Point Objective) definidos por la entidad.
3.1.3.1.1.6.
Los procesos y los procedimientos a ejecutar para la reanudación de las operaciones en
situación contingente.
3.1.3.1.1.7.
Los procesos y procedimientos bajo los cuales se operará en situación contingente,
identificando con claridad qué servicios se verían afectados bajo esta modalidad de
funcionamiento, el nivel mínimo aceptable de operación, las condiciones de seguridad y control
adoptadas, así como el cumplimiento de las obligaciones contractuales y normativas.
3.1.3.1.1.8.
Las condiciones, estrategias y procedimientos para regresar a la operación normal.
3.1.3.1.1.9.
Los recursos humanos, técnicos, financieros, logísticos y cualquier otro necesario para operar
bajo las diferentes alternativas contingentes, tales como: centro alterno de procesamiento de
datos (CAPD), centros alternos de operación, Call o Contact Center alterno, mesas de dinero
alternas, alta disponibilidad, copias de respaldo, medios de transporte y dinero.
3.1.3.1.1.10. Los procesos y procedimientos para administrar el riesgo legal y reputacional generado por la
interrupción en la prestación del servicio.
3.1.3.1.1.11. Las estrategias para dar a conocer a las partes interesadas, en forma anticipada, la manera
como se desarrollarán las actividades durante la contingencia.
3.1.3.1.2.
Pruebas de contingencia y continuidad del negocio.
3.1.3.1.2.1.
Las entidades deberán realizar al menos una vez al año pruebas integrales a sus planes de
contingencia y continuidad del negocio para confirmar su eficacia y oportunidad.
3.1.3.1.2.2.
En la realización de las pruebas de continuidad deberán participar los terceros que apoyan la
ejecución de los procesos misionales de la entidad.
3.1.3.1.2.3.
Consolidar la estrategia de continuidad del negocio con la realización de pruebas cada vez más
exigentes y completas que consideren los diferentes riesgos que puedan afectar la operación
de la entidad y las distintas alternativas planteadas para continuar con la prestación de los
servicios.
3.1.3.1.2.4.
La identificación de los riesgos que pueden afectar a la entidad cuando opere en una situación
contingente.
3.1.3.1.2.5.
Tener a disposición de esta Superintendencia los soportes de las pruebas realizadas en los
cuales se evidencie el objetivo de la prueba, los datos utilizados, los resultados esperados, los
resultados obtenidos y los planes de acción para superar las dificultades presentadas.
3.1.4. Monitoreo
Las entidades deben hacer un monitoreo periódico del perfil de riesgo y de la exposición a pérdidas.
Para el efecto, éstas deben cumplir, como mínimo, con los siguientes requisitos:
a)
Desarrollar un proceso de seguimiento efectivo, que facilite la rápida detección y corrección de las
deficiencias en el SARO. Dicho seguimiento debe tener una periodicidad acorde con los riesgos operativos
potenciales y ocurridos, así como con la frecuencia y naturaleza de los cambios en el entorno operativo. En
cualquier caso, el seguimiento debe realizarse con una periodicidad mínima semestral.
b)
Establecer indicadores descriptivos y/o prospectivos que evidencien los potenciales riesgos operativos.
c)
Asegurar que los controles estén funcionando en forma oportuna, efectiva y eficiente.
Circular Externa
de 2013
XXXXX de 2013
Descargar