ELEMENTOS GENERALES DE GESTIÓN.

Documentos relacionados
GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP

Política de Gestión Integral de Riesgos Compañía Sud Americana de Vapores S.A.

Adopción SÍ NO PRÁCTICA. 1.- Del funcionamiento del Directorio.

El Rol del Director en la Industria Bancaria

Asunto: Certificación Integral Gestión de Riesgos y Control Interno

POLÍTICA DE CONTROL Y GESTIÓN DE RIESGOS CDECSIC

Adopción SÍ NO PRÁCTICA. 1.- Del funcionamiento del Directorio.

I. INTRODUCCIÓN DEFINICIONES

ISO Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA WENDY CARRASCAL VILLAMIZAR

Recomendaciones relativas a la continuidad del negocio 1

REGLAMENTO ESPECÍFICO DEL SISTEMA DE TESORERÍA DE LA EMPRESA MUNICIPAL DE ÁREAS VERDES, PARQUES Y FORESTACIÓN "EMAVERDE"

POLÍTICA DE CONTINUIDAD DEL NEGOCIO (BCP,DRP)

POLITICA DE SISTEMA DE CONTROL INTERNO

EMPRESAS AQUACHILE S.A. ANEXO NCG No. 341

NORMA TÉCNICA DE AUDITORÍA SOBRE CONSIDERACIONES RELATIVAS A LA AUDITORÍA DE ENTIDADES QUE EXTERIORIZAN PROCESOS DE ADMINISTRACIÓN

copia no controlada ACUERDO DE SERVICIO Sistemas-Gestión de los Servicios Informáticos AS-T-01 Rev OBJETIVO

INFORME Encuesta sobre Gestión Integral de Riesgos en Entidades Financieras

1 El plan de contingencia. Seguimiento

ANEXO INFORMACION RESPECTO DE LA ADOPCION DE PRACTICAS DE GOBIERNO CORPORATIVO

EMPRESAS PÚBLICAS DE MEDELLÍN E.S.P. DIRECCIÓN CONTROL INTERNO PROYECTO NORMALIZACIÓN ACTIVIDAD DE AUDITORÍA INTERNA

Boletín Asesoría Gerencial*

NORMA DE CARÁCTER GENERAL N 341 INFORMACIÓN RESPECTO DE LA ADOPCIÓN DE PRÁCTICAS DE GOBIERNO CORPORATIVO. (ANEXO al 31 de diciembre de 2014)

Subgerencia General Auditoría General

Procedimiento Para La Integración Al Sistema De Voz Operativa Del AMM

NORMAS DE GESTIÓN DE RIESGOS DE CRÉDITO E INVERSIONES CAPÍTULO I CONSIDERACIONES GENERALES

Lista de la Verificación de la Gestión de la Seguridad y Salud Ocupacional 1

TITULO XI GESTIÓN DE RESPONSABILIDAD SOCIAL EMPRESARIAL. Reglamento de Responsabilidad Social Empresarial

CONTRALORÍA GENERAL DE LA REPÚBLICA RESOLUCION

Ley Modelo sobre sistemas de pagos y de liquidación de valores de Centroamérica y República Dominicana. Capítulo I Disposiciones generales

Plan provincial de Producción más limpia de Salta

Plan de Estudios. Maestría en Seguridad Informática

Martes 18 de marzo de 2008 DIARIO OFICIAL (Primera Sección)

PROCESO ADMINISTRACIÓN DE RECURSOS TECNOLÓGICOS SUBPROCESO ADMINISTRACIÓN DE CONTINGENCIAS

Operación 8 Claves para la ISO

LA METODOLOGÍA DEL BANCO PROVINCIA

Actualización de las Normas Internacionales para el ejercicio profesional de la Auditoría Interna NIA *

DOCUMENTO GUIA INFORMACIÓN RESPECTODE LA ADOPCIÓN DE PRÁCTICAS DE GOBIERNO CORPORATIVO

EXPORTACIÓN POR ENVÍOS POSTALES PARA MICRO, PEQUEÑAS Y MEDIANAS EMPRESAS (MIPyMEs) Proyecto de la Agenda de Implementación Consensuada

COORDINADOR DE PROYECTO REGIONAL PROMOVIENDO Y DESARROLLANDO EL CONCEPTO DE SEGURIDAD HUMANA

SISTEMA ESTRATÉGICO DE TRANSPORTE PÚBLICO SANTA MARTA PLAN DE CONTINGENCIA ÁREA FINANCIERA Y CONTABLE

CONTROL DE CAMBIOS. FICHA CONTROL DE CAMBIOS Versión Fecha Descripción de la Modificación

SUPERINTENDENCIA FINANCIERA DE COLOMBIA

POLÍTICA DE CONTINUIDAD OPERACIONAL MINISTERIO DE OBRAS PÚBLICAS

EMISORES Y OPERADORES DE TARJETAS DE CRÉDITO

INDICE Gestión Integral de Riesgos Gobierno Corporativo Estructura para la Gestión Integral de Riesgos 4.1 Comité de Riesgos

Políticas de seguridad de la información. Empresa

Para los efectos de esta normativa se deberán considerar las siguientes definiciones:

POLÍTICA DE CONTINUIDAD DE NEGOCIO

X.2 SUBDIRECCIÓN DE ADMINISTRACIÓN DE RIESGOS

EL SUPERINTENDENTE DE BANCA, SEGUROS Y ADMINISTRADORAS PRIVADAS DE FONDOS DE PENSIONES

ESPECIFICACIONES TÉCNICAS DEL PROCESO DE ATENCIÓN AL CIUDADANO

Taller de Capacitación: Metodología para el Monitoreo del Sistema de Control Interno Empresas de la Corporación FONAFE

Lineamientos para los procesos de Planeación y Evaluación Institucionales de la Universidad Popular de la Chontalpa

NORMAS Y PROCEDIMIENTOS PARA LA EVALUACION DE LA CALIDAD DE LOS PROGRAMAS DE POSTGRADO

Programa 47 Formación continua para egresados

Microsoft es una marca comercial registrada o una marca comercial de Microsoft Corporation en Estados Unidos y otros países.

Mesa Redonda Plano de manejo de crisis y continuidad del negocio ante fenómenos naturales de alto poder destructivo

Implementación y Operación

Ciudad de México, Septiembre 27 de 2013.

CÓDIGO DE BUENAS PRÁCTICAS

NORMAS PRUDENCIALES PARA LA SUPERVISIÓN DE FINANCIERA NICARAGÜENSE DE INVERSIONES, S.A. (FNI, S.A.) (CD-SIB FEB9-2001)

MINISTERIO DE SALUD DECRETO NÚMERO 2174 (28 DE NOVIEMBRE DE 1996)

Políticas de Expansión AIESEC en Colombia. Octubre de 2014.

1. Las acciones que se construyan en conjunto buscarán aportar a la conservación en el marco de la consolidación territorial indígena.

SUPERINTENDENCIA FINANCIERA DE COLOMBIA. Anexo 1 (Modificado por la Circular Externa 007 de 2011)

CÓDIGO DE BUENAS PRÁCTICAS EN INFORMACIÓN, PARTICIPACIÓN Y TRANSPARENCIA EN LA GOBERNANZA DE INTERNET

GESTIÓN DE LA DOCUMENTACIÓN

POLITICA DE GESTION DE RIESGOS, ROLES Y RESPONSABLES. Departamento de Estudios y Gestión Estratégica

4.2 Mecanismos de consulta. Recomendación

Cambio en el Sistema de Acreditación Universitaria en Chile

MEJORES PRÁCTICAS EN LA LUCHA CONTRA EL BLANQUEO DE CAPITALES Y LA FINANCIACIÓN DEL TERRORISMO. SECTOR ORGANIZACIONES SIN FINES DE LUCRO

MARCO DE CAPITAL GRUPO SANTANDER. Junio 2014

DD4 CRITERIOS DE ACREDITACIÓN PARA LABORATORIOS DE ENSAYO Y DE CALIBRACION

DESCRIPCIÓN DEL PROCESO DE RIESGO OPERACIONAL

REQUERIMIENTOS PARA EL FUNCIONAMIENTO DE LOS LABORATORIOS DE ANÁLISIS CLÍNICOS DE LA PROVINCIA DEL CHACO

El diagnóstico se realizó en el mes de octubre del año 2002 y se elaboró evaluando la

OFICINA DE CONTROL INTERNO INFORME DE GESTION 2014

LABORATORIOS. Mayeline Gómez Agudelo

Juan Martínez** DE LOS PROYECTOS*

NORMATIVIDAD LEGAL VIGENTE DE LA FORMACION PARA EL TRABAJO

Procedimiento para la solicitud de MODIFICACIONES en los Títulos Universitarios Oficiales de Grado y Máster

INFORME DE GESTIÓN SOBRE EL SISTEMA DE CONTROL INTERNO

Contenido ACADÉMICO... 4 EXPERIENCIA PROFESIONAL... 4 HABILIDADES... 4 RESPONSABILIDADES TÉCNICAS... 5 RESPONSABILIDADES PEDAGÓGICAS...

IAP ENTORNOS INFORMATIZADOS CON SISTEMAS DE BASES DE DATOS

Anexo I. Politicas Generales de Seguridad del proyecto CAT

BOLETÍN OFICIAL DEL ESTADO

RESOLUCION MINISTERIAL Nº MINAM. Visto, el Memorando Nº MINAM-VMGA-DGPNIGA de 14 de enero de 2013, y demás antecedentes; y,

SERVICIOS POSTALES NACIONALES S.A REPÚBLICA DE COLOMBIA. CONVOCATORIA PÚBLICA No. 007 DE 2015 OBJETO: ADENDA No. 2.

INFORME DE JUNTA DIRECTIVA SOBRE EL FUNCIONAMIENTO DEL SISTEMA DE CONTROL INTERNO PARA LA ASAMBLEA GENERAL DE ACCIONISTAS DE BANCOOMEVA S.A.

COE Dirección Áreas de Conservación

CONCEPTO NÚMERO de Hoja No. x

PROGRAMA NACIONAL UNA COMPUTADORA PARA CADA ALUMNO. En Escuelas Técnicas de Gestión Estatal

Inter American Accreditation Cooperation. Grupo de prácticas de auditoría de acreditación Directriz sobre:

Estatuto de Auditoría Interna

MINISTERIO DE EDUCACIÓN NACIONAL. DECRETO No. 1290

DIRECTIVA DE CONTRATACIÓN PÚBLICA N 7 INSTRUCCIONES PARA USO DE GARANTÍAS EN PROCESOS DE COMPRAS

RESOLUCION DE DIRECTORIO Nº 086/2004

POLITICA DE PRIVACIDAD Y PROTECCION DE DATOS PERSONALES

Evaluación de la Continuidad de Negocio en los Sistemas de Pagos de Latinoamérica y el Caribe. Octubre, 2010

ÁREA DE APLICACIÓN Esta Norma Complementaria se aplica al área de la Administración Pública Federal, en las formas directa e indirecta.

Transcripción:

RECOPILACION ACTUALIZADA DE NORMAS Capítulo 20-9 Hoja 1 CAPÍTULO 20-9 GESTION DE LA CONTINUIDAD DEL NEGOCIO. El presente Capítulo contiene disposiciones sobre los lineamientos mínimos para la gestión de la continuidad del negocio de las empresas bancarias, cuyo seguimiento será considerado en la evaluación de gestión que realiza esta Superintendencia puesto que constituye una parte esencial de los riesgos operacionales. Por lo tanto, este Capítulo complementa lo señalado en la letra c) del numeral 3.2 del Título II del Capítulo 1-13 de esta Recopilación sobre la evaluación del riesgo operacional, como asimismo lo dispuesto en el Capítulo 20-7 en lo que toca a los riesgos que se asumen en la externalización de servicios. En el Anexo se incluyen definiciones de conceptos utilizados en este documento. I ELEMENTOS GENERALES DE GESTIÓN. En la evaluación de la gestión de la continuidad del negocio, un elemento fundamental corresponde al rol del Directorio en lo relativo a la aprobación de la estrategia institucional en esta materia. Asimismo, será importante verificar que la entidad dispone de metodologías para una adecuada identificación, cuantificación, evaluación y monitoreo de estos riesgos. En ese sentido, revelan una buena gestión, por ejemplo, situaciones o hechos tales como: - La entidad cuenta con una estrategia de administración de la continuidad del negocio aprobada por el Directorio, la que es concordante con las necesidades del negocio y la calidad de los servicios comprometidos. - El Directorio ha dispuesto la existencia de una función de riesgos encargada de la administración de la continuidad del negocio, así como también instancias colegiadas de alto nivel con atribuciones y competencias para gestionar los riesgos. - El Directorio ha aprobado una estructura de alto nivel para la administración de crisis con atribuciones técnicas y del negocio para conocer y controlar cualquier interrupción de alto impacto que afecte a la entidad. - El Directorio ha dispuesto un mecanismo que le permite periódica y adecuadamente informarse respecto de la gestión de la continuidad del negocio a los que está expuesta la entidad.

- La entidad mantiene políticas aprobadas por el Directorio para la administración de la continuidad del negocio, acordes con el volumen y complejidad de sus operaciones. Estas políticas son comunicadas a todas las partes interesadas y son revisadas al menos anualmente. - Antes de introducir nuevos productos, emprender nuevas actividades o definir nuevos procesos y sistemas, la entidad se asegura de evaluar los riesgos de continuidad del negocio que se podrían estar asumiendo. - La entidad ha desarrollado una metodología formal de evaluación de impacto del negocio (BIA), que considera los tiempos de recuperación objetivo (RTO) definidos por las áreas de negocio, con el fin de identificar los procesos de mayor criticidad. Asimismo, efectúa un análisis de los riesgos de continuidad del negocio (RIA), a fin de disminuir su probabilidad de ocurrencia. Dichos análisis son realizados al menos con periodicidad anual. - La entidad considera como mínimo los escenarios de contingencia referidos a la falta total y parcial de los sistemas tecnológicos; la ausencia de personal crítico; la imposibilidad de acceder y/o utilizar las instalaciones físicas; y la falta de provisión de los servicios contratados a proveedores. Adicionalmente, de acuerdo a su propio perfil de riesgo, la entidad considera otros escenarios de contingencia que la puedan afectar, como por ejemplo la falla de integridad de datos y disrupción de servicios por ataques que afecten la ciberseguridad. - La entidad cuenta con planes documentados de contingencia operativos y de recuperación ante desastres, para responder a la materialización de los escenarios de contingencia definidos, los que se actualizan al menos anualmente. Estos incluyen los procedimientos para restaurar y volver a las actividades normales del negocio después de superada la contingencia. - La entidad prueba los planes de contingencia operativos y de recuperación ante desastres que soportan los procesos críticos en todos los escenarios que le aplican, al menos con una periodicidad anual, de modo de asegurar su suficiencia y eficacia. Los ejercicios se realizan de acuerdo con los tipos de pruebas definidos, procurando en todo caso, avanzar constantemente hacia pruebas de mayor complejidad, por ejemplo, pruebas de escritorio, de simulación y de actividades críticas, entre otras. El resultado de estas pruebas se refleja en un informe que permite determinar con claridad el alcance, las condiciones en que se realiza cada ejercicio y los planes de corrección si corresponde. - La entidad realiza pruebas, al menos con una periodicidad anual, al plan de recuperación de desastres (DRP) que simulen la indisponibilidad de sus distintos sitios de procesamiento, tanto durante la ejecución de los procesos transaccionales, como durante la ejecución de los procesos batch. - La entidad cuenta con un proceso formal y sistemático de gestión de incidentes que pudieran interrumpir o afectar la provisión de los productos, servicios o actividades. - La entidad se preocupa de generar información suficiente, adecuada y oportuna de los riesgos vinculados con esta materia, los cuales son reportados a las instancias que toman decisiones en caso de ser necesario. - La entidad cuenta con un plan de comunicaciones que opera ante contingencias, el cual alcanza a todas las partes interesadas, ya sean internas o externas.

- La entidad se asegura de contar con personal suficiente y con la experiencia necesaria para afrontar los escenarios de contingencia definidos por la entidad. - La entidad cuenta con programas de capacitación y entrenamiento que permiten que todos los niveles del personal asuman y comprendan sus responsabilidades en la mantención del modelo de continuidad del negocio. - La entidad realiza auditorías internas al proceso de administración de la continuidad del negocio, las que son adecuadas y suficientes en cuanto a cobertura y alcance. II SITIOS DE PROCESAMIENTO DATOS E INFRAESTRUCTURA TECNOLOGICA. Uno de los aspectos relevantes que contribuyen a fortalecer la resiliencia operacional de las entidades es la mantención de sitios de procesamiento de datos e infraestructura tecnológica robusta, los que deben ser resultado de evaluaciones especializadas periódicas a estos. En este sentido, una adecuada gestión en relación con lo señalado se manifiesta en hechos tales como: - Los centros de procesamiento de datos ya sea principal o de contingencia se encuentran permanentemente actualizados en cuanto a infraestructura tecnológica y versiones de software, y operando preferentemente en modalidad activo-activo. - Los sitios de procesamiento de datos se encuentran certificados en términos de constructibilidad y diseño por una entidad especializada e independiente. - La infraestructura de los sitios de procesamiento de datos cuentan con una capacidad de mantenimiento simultáneo y con disponibilidades al menos de 99,98% o downtime de 1,6 horas anuales. - La configuración de los sitios permite disponer de una infraestructura de telecomunicaciones y de equipamiento computacional con la redundancia necesaria para evitar puntos únicos de falla; con seguridad en las conexiones de cableado; con distribución distinta en sus trayectorias; y gestionado por especialistas, de manera de proporcionar soporte especializado que funcione en modo 24x7. - Los sitios principal y de contingencia se encuentran en distintas ubicaciones de tal forma que no se vean expuestos a los mismos riesgos, considerando, entre otros factores, la ubicación y distancia entre las instalaciones. - La entidad cuenta con infraestructura y procedimientos de respaldo que permitan recuperar los datos, software básico y aplicativos, de acuerdo a los RTO definidos, ante una contingencia o corrupción de la información.

III CONTINGENCIAS DE CARÁCTER SISTÉMICO. La continuidad del negocio no sólo debe gestionarse a nivel de cada entidad financiera, sino que debe considerarse que su funcionamiento se da en un entorno donde existen diferentes actores que pueden verse afectados simultáneamente. En este contexto, es necesario que las entidades cuenten con planes específicos para mitigar el efecto que una contingencia de carácter sistémico pueda producir en el sistema financiero. En línea con lo anterior en las evaluaciones se examinarán al menos los siguientes aspectos: - La entidad dispone de un plan comunicacional para informar en forma efectiva la materialización de algún escenario de contingencia a todas las partes interesadas. - La entidad ha dispuesto la creación de equipos humanos altamente capacitados que realicen labores de coordinación, tanto en el plano interno como con las autoridades competentes y otras instituciones públicas y privadas. - La entidad cuenta con procedimientos para ubicar y contactar al personal dentro de las zonas afectadas, considerando además la provisión de transporte para facilitar la logística y traslado del personal. - La entidad ha establecido medios de comunicación alternativos a los de uso regular, que permitan enviar y recibir mensajería instantánea mediante el uso de telefonía satelital u otros servicios de transmisión inalámbrica que puedan servir como contingencia. - La entidad cuenta con planes de contingencia operativos tendientes a proveer de liquidez (dinero efectivo) al mercado, de manera de mitigar el efecto que pueda producirse por indisponibilidad de los medios de pago de bajo monto, como las tarjetas de crédito y de débito, y la eventual imposibilidad de utilizar cajeros automáticos. - La entidad considera alianzas de cooperación con otras instituciones financieras, de acuerdo a la legalidad vigente, a fin de mantener sus operaciones críticas. - La entidad dispone de políticas para la adecuada gestión del riesgo de concentración de los servicios externalizados críticos en escenarios de carácter sistémico, así como la gestión del riesgo derivado de compartir instalaciones y sitios de procesamiento con empresas que entregan servicios básicos a la población, como son los de energía, de agua potable y de telecomunicaciones. - En sus contratos con proveedores de servicios, la entidad se asegura que los contratos no consideren cláusulas que limiten el acceso físico del personal del banco a los centros de datos, y/o que faculten al proveedor de servicios para tomar decisiones unilaterales en escenarios de contingencias mayores. Asimismo, revisa los contratos y pólizas de seguros generales del proveedor, a fin de que no contengan limitantes para el ingreso físico a estas instalaciones.

ANEXO DEFINICIONES Análisis de impacto o BIA: Comprende el análisis de actividades o procesos y el efecto que una disrupción del negocio pudiera tener sobre ellos. Análisis de riesgo o RIA: Comprende la identificación, evaluación y valoración de los riesgos de los procesos, centrados en aquellos riesgos que podrían afectar a la continuidad del negocio. Continuidad del negocio: Se refiere a la capacidad de la organización para continuar la entrega de productos o servicios en los niveles aceptables de operación, previamente definidos, tras un incidente. Gestión de la continuidad del negocio: Se entiende como un proceso de administración, que incluye las políticas, normas y procedimientos necesarios para garantizar que los productos o servicios entregados por las instituciones bancarias se puedan mantener o recuperar de manera oportuna en el caso de una interrupción. Incidente(s): Interrupción o reducción en la calidad del servicio o cualquier acontecimiento que podría afectar negativamente el servicio. Plan de contingencia operativo: Se refiere a los procedimientos orientados a recuperar las operaciones ante la ocurrencia de fallas producto de la materialización de alguno de los escenarios de contingencia definidos por el banco. Son complementarios, en lo que corresponde, al Plan de recuperación ante desastres. Plan de recuperación ante desastres (DRP): Procedimientos diseñados para dar respuesta ante una pérdida parcial o total de los recursos computacionales e instalaciones físicas que las soportan. Tiempo de recuperación objetivo o RTO: Periodo de tiempo después de un incidente en que la provisión tecnológica de los productos, servicios o actividad debe reanudarse; o los recursos deben ser recuperados. Sitio o centro principal (producción): Infraestructura física donde se centralizan los recursos informáticos para proveer la tecnología necesaria para la operativa diaria. Sitio o centro de contingencia: Centro de procesamiento que debe contar con los recursos necesarios, para asegurar la recuperación tecnológica de los sistemas en el tiempo estimado por la entidad. Proveedor(es) de servicios: entidad relacionada o no a la institución contratante, que preste servicios o provea bienes y/o instalaciones a ésta. Proceso de gestión de incidentes: conjunto de actividades orientadas a restaurar la operación normal del servicio a la brevedad y a mantener al mínimo el impacto adverso en la operación normal.

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback