Aprueban el Reglamento para la Gestión de la Continuidad del Negocio

Aprueban el Reglamento para la Gestión de la Continuidad del Negocio

Resolución SBS Nº 877-2020

26 de febrero de 2020

La Superintendenta de Banca, Seguros y

Administradoras Privadas de Fondos de

Pensiones

CONSIDERANDO:

Que, el Reglamento de Gobierno Corporativo y de la Gestión Integral de Riesgos, aprobado mediante la Resolución SBS Nº 272-2017, incorpora disposiciones que tienen por finalidad que las empresas supervisadas cuenten con una gestión de riesgos y gobierno corporativo adecuados;

Que, mediante el Reglamento para la Gestión del Riesgo Operacional, aprobado mediante la Resolución SBS Nº 2116-2009, se incluyen disposiciones que las empresas deben cumplir en la gestión efectiva del riesgo operacional;

Que, mediante las circulares G-139-2009, G-164-2012 y G-180-2015, se establecen los criterios mínimos para la gestión de la continuidad del negocio, la obligación de reportar eventos de interrupción significativa de operaciones, y el uso de indicadores clave para la gestión de la continuidad del negocio, respectivamente;

Que, resulta necesario actualizar la normativa sobre gestión de la continuidad del negocio vía la aprobación de un reglamento complementario al Reglamento para la Gestión del Riesgo Operacional, tomando en consideración los resultados de las labores de supervisión y de los Ejercicios Sectoriales de Continuidad del Negocio llevados a cabo en los años 2014 y 2017, así como de los estándares y buenas prácticas internacionales sobre la materia, entre los que se encuentran el estándar ISO 22301:2012, sobre los sistemas de gestión de la continuidad del negocio, y la Guía de Buenas Prácticas del Business Continuity Institute;

Que, para recoger las opiniones del público, se dispuso la prepublicación del proyecto de resolución sobre la materia en el portal electrónico de la Superintendencia, al amparo de lo dispuesto en el Decreto Supremo Nº 001-2009-JUS;

Con el visto bueno de las Superintendencias Adjuntas de Banca y Microfinanzas, de Administradoras Privadas de Fondos de Pensiones, de Seguros, de Riesgos y de Asesoría Jurídica; y,

En uso de las atribuciones conferidas por los numerales 7 y 9 del artículo 349º de la Ley General del Sistema Financiero y del Sistema de Seguros y Orgánica de la Superintendencia de Banca y Seguros, Ley Nº 26702 y sus modificatorias, y el inciso d) del artículo 57º de la Ley del Sistema Privado de Administración de Fondos de Pensiones, cuyo Texto Único Ordenado es aprobado por Decreto Supremo Nº 054-97-EF;

RESUELVE:

Artículo Primero.- Aprobar el Reglamento para la Gestión de la Continuidad del Negocio, según se indica a continuación:

“REGLAMENTO PARA LA GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO

CAPÍTULO I

DISPOSICIONES GENERALES

Artículo 1. Alcance

1.1. El presente Reglamento es de aplicación a las empresas señaladas en los artículos 16 y 17 de la Ley General, así como a las Administradoras Privadas de Fondos de Pensiones (AFP), en adelante empresas.

1.2. También es de aplicación al Banco de la Nación, al Banco Agropecuario, a la Corporación Financiera de Desarrollo (COFIDE), al Fondo MIVIVIENDA S.A., y a las Derramas y Cajas de Beneficios bajo control de la Superintendencia, en tanto no se contrapongan con las normativas específicas que regulen el accionar de dichas instituciones.

Artículo 2. Definiciones

Para la aplicación del presente Reglamento deben considerarse las siguientes definiciones:

a) Análisis de impacto del negocio: Proceso mediante el cual se evalúan los efectos de un evento de interrupción del negocio para determinar la prioridad con la que se deben recuperar las actividades de la empresa.

b) Impacto máximo aceptable: Nivel máximo de impacto que puede ser aceptado por la empresa ante la ocurrencia de un evento de interrupción del negocio sobre diversos aspectos, tales como financiero, regulatorio, reputacional, sobre el público y el cumplimiento de los objetivos estratégicos.

c) Objetivo de recuperación de negocio: Nivel mínimo aceptable de operatividad de los productos y servicios a recuperar luego de una interrupción. Puede ser definido en términos de alguna o la combinación de las siguientes variables: canales de atención, volumen de operaciones, volumen de clientes, montos para la atención de operaciones y horarios de atención.

d) Periodo máximo tolerable de interrupción (PMTI): Periodo luego del cual una interrupción alcanza alguno de los niveles de impacto máximos aceptables.

e) Punto único de falla: Fuente o camino único de un servicio, actividad y/o proceso para el cual no existe una alternativa y cuya pérdida o falla pueda ocasionar una interrupción.

f) Punto objetivo de recuperación (POR): Nivel máximo de información que se podría perder como resultado de una interrupción en los servicios de tecnologías de la información. Se representa en unidades de tiempo.

g) Tiempo objetivo de recuperación (TOR): Tiempo establecido por la empresa para reanudar operaciones, en caso de ocurrencia de una interrupción. Es menor al PMTI.

Artículo 3. Sistema de gestión de la continuidad del negocio

3.1. El sistema de gestión de la continuidad del negocio es el componente de la gestión integral de riesgos que busca asegurar la capacidad de la empresa para continuar operando a niveles previamente establecidos, ante la ocurrencia de una interrupción.

3.2. El sistema de gestión de la continuidad del negocio implica, cuando menos, las siguientes fases: i) Entendimiento de la organización; ii) diseño de la estrategia de continuidad; iii) implementación de la estrategia de continuidad; iv) plan de pruebas; v) capacitación; y, v) revisión y actualización.

Artículo 4. Proporcionalidad del sistema de gestión de la continuidad del negocio

4.1. El sistema de gestión de la continuidad del negocio de la empresa debe ser proporcional al tamaño, la naturaleza y la complejidad de sus operaciones.

4.2. Las disposiciones referidas al sistema general de gestión de la continuidad del negocio y los reportes de interrupción de operaciones, descritas en los Subcapítulos I y IV del Capítulo II, respectivamente, son de aplicación obligatoria a las siguientes empresas:

a) Empresa Bancaria;

b) Empresa Financiera;

c) Caja Municipal de Ahorro y Crédito - CMAC;

d) Caja Municipal de Crédito Popular - CMCP;

e) Caja Rural de Ahorro y Crédito - CRAC;

f) Empresa de Seguros y/o Reaseguros;

g) Empresa de Transporte, Custodia y Administración de Numerario;

h) Administradora Privada de Fondos de Pensiones;

i) Empresa Emisora de Tarjetas de Crédito y/o de Débito;

j) Empresa Emisora de Dinero Electrónico; y,

k) El Banco de la Nación.

4.3. Las disposiciones referidas al sistema simplificado de gestión de la continuidad del negocio, descritas en el Subcapítulo II del Capítulo II, son de aplicación obligatoria a las siguientes empresas:

a) Banco de Inversión;

b) Entidad de Desarrollo a la Pequeña y Micro Empresa – EDPYME;

c) Empresa de Transferencia de Fondos;

d) Derrama y Caja de Beneficios bajo control de la Superintendencia;

e) La Corporación Financiera de Desarrollo –COFIDE;

f) El Fondo MIVIVIENDA S.A.;

g) El Fondo de Garantía para Préstamos a la Pequeña Industria –FOGAPI; y,

h) El Banco Agropecuario.

4.4. Las empresas señaladas en el Artículo 1 no listadas en los párrafos 4.2 o 4.3 anteriores, podrán establecer un sistema de gestión de la continuidad de negocio conforme a las disposiciones del presente reglamento.

Artículo 5. Políticas para la gestión de la continuidad del negocio

5.1. Las políticas para la gestión de la continuidad del negocio deben ser aprobadas por el directorio, y considerar cuando menos lo siguiente:

a) Encontrarse alineadas a los objetivos estratégicos de la empresa;

b) Proveer un marco para establecer y alcanzar los objetivos de la gestión de la continuidad del negocio; y,

c) Establecer los impactos máximos aceptables ante la ocurrencia de una interrupción, los cuales deben ser considerados para el análisis de impacto del negocio.

5.2. Las políticas deben ser revisadas periódicamente a fin de asegurar que se encuentren alineadas a los objetivos y la estructura organizativa de la empresa.

Artículo 6. Responsable de la gestión de la continuidad del negocio

6.1 La gestión de la continuidad de negocio puede ser desempeñada por una unidad especializada o asignada a otra unidad de la empresa, atendiendo al tamaño, la naturaleza y la complejidad de sus operaciones.

6.2 La unidad a cargo de la gestión de la continuidad del negocio tiene las siguientes responsabilidades respecto a dicha gestión:

a) Proponer políticas;

b) Desarrollar procedimientos y metodologías apropiados;

c) Apoyar y asistir a las unidades de la empresa en la implementación de las políticas, procedimientos y metodología desarrollados;

d) Asegurar que la gestión se integre a la gestión de riesgos de la empresa;

e) Asegurar que el directorio, la gerencia general y el comité de riesgos tomen conocimiento de los aspectos relevantes de la gestión, para una oportuna toma de decisiones;

f) Asegurar que el desarrollo de las actividades referidas a la gestión sea aprobado por las instancias correspondientes; y,

g) Identificar las necesidades de capacitación y difusión para una adecuada gestión.

CAPITULO II

SISTEMAS DE GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO

SUBCAPÍTULO I

SISTEMA GENERAL DE GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO

Artículo 7. Entendimiento de la organización

7.1 La empresa debe efectuar un análisis de impacto del negocio y una evaluación de riesgos que podrían causar una interrupción del negocio, cuyos resultados deben ser aprobados por el comité de riesgos e informados al directorio.

7.2 El análisis de impacto del negocio debe incluir lo siguiente:

a) Un inventario de los productos o servicios entregados a personas – naturales o jurídicas – o entes jurídicos, que puedan verse afectados por la interrupción de las actividades de la empresa, incluyendo en dicho inventario a las obligaciones que se mantengan con dichas personas o entes;

b) Una evaluación, a través del tiempo, de los impactos financiero, regulatorio y reputacional, en el público y en el cumplimiento de los objetivos estratégicos que podrían generarse como resultado de interrumpir la entrega de los productos y servicios, con el objetivo de determinar el PMTI y el TOR;

c) La definición de los productos y servicios priorizados, en atención al PMTI y TOR correspondientes, así como la identificación de los procesos que los soportan; y,

d) La estimación de los recursos propios y/o provistos por terceros, necesarios para la ejecución de los productos y servicios priorizados, y que incluyen al personal con capacidades técnicas, los procedimientos, información, tecnología e infraestructura.

7.3 La evaluación de riesgos que podrían causar una interrupción del negocio debe incluir cuando menos lo siguiente:

a) Identificación de los puntos únicos de falla;

b) Escenario en los que los recursos necesarios, propios y/o provistos por terceros, no se encuentren disponibles; y,

c) La exposición a riesgos relacionada a la ubicación geográfica de sus instalaciones y la de aquellos proveedores cuya falla o indisponibilidad podría afectar la continuidad de las operaciones de la empresa.

7.4 Las metodologías para desarrollar el análisis de impacto del negocio y la evaluación de riesgos que podrían causar una interrupción del negocio deben ser consistentes con aquellas usadas para la gestión del riesgo operacional. Cabe precisar que los riesgos que podrían causar una interrupción deben ser considerados como parte de la gestión del riesgo operacional de la empresa.

Artículo 8. Diseño de la estrategia de continuidad

8.1 La empresa debe diseñar estrategias que permitan asegurar la continuidad en la entrega de los productos y servicios priorizados a que hace referencia el literal c) del párrafo 7.2 del Artículo 7.

8.2 Dichas estrategias de continuidad deben ser aprobadas por el directorio y deben considerar lo siguiente:

a) La factibilidad técnica, los TORs y los recursos necesarios para su implementación;

b) Un análisis de escenarios que incluya la falla o indisponibilidad de los bienes o servicios brindados por terceros;

c) Contar con más de un centro de procesamiento de datos con perfiles de riesgo distintos, de modo que posibles eventos de interrupción no los afecten de manera simultánea;

d) La información de las operaciones de los productos pasivos, en caso aplique, deben respaldarse, al menos, dos veces al día;

e) Las instalaciones destinadas a la recuperación de los procesos que soportan los productos y servicios priorizados deben cumplir con las políticas y los protocolos de seguridad establecidos por la empresa;

f) Contar con un análisis realizado por un tercero independiente y especializado, en donde se analice si los centros de procesamiento de datos se verán o no afectados por un mismo evento de interrupción, considerando la ubicación geográfica, el suelo, la infraestructura y la accesibilidad de cada centro;

g) El análisis a que se hace referencia en el anterior literal f) debe actualizarse periódicamente o ante cambios en alguna de las características señaladas; y,

h) Los resultados del análisis dispuesto en el literal f) junto a las propuestas de actividades requeridas para cumplir con lo indicado en el literal c) anterior, deben ser presentados al directorio.

Artículo 9. Implementación de la estrategia de continuidad

9.1 La empresa debe implementar las estrategias de continuidad aprobadas. Para este fin, debe desarrollar planes de gestión de crisis, de continuidad de los productos y servicios priorizados, de recuperación de los servicios de tecnología de información, y de emergencia.

9.2 El plan de gestión de crisis describe la estructura organizativa y los procedimientos aplicables en situación de crisis, incluyendo lo siguiente:

a) Criterios de activación y desactivación;

b) Conformación del comité de crisis de nivel estratégico;

c) Lineamientos para la toma de decisiones;

d) Roles y responsabilidades durante la crisis;

e) Esquema de comunicación entre los miembros del comité de crisis; y,

f) Lineamientos para la comunicación con aquellas personas – naturales o jurídicas – y entes jurídicos, que pudieran verse afectados por la interrupción de las actividades de la empresa.

9.3 El plan de continuidad de los productos y servicios priorizados describe los aspectos necesarios para el despliegue de las estrategias que permitan asegurar la continuidad en la entrega de dichos productos y servicios, y debe incluir lo siguiente:

a) Criterios de activación y desactivación;

b) Roles y responsabilidades de los involucrados; y,

c) Descripción de los procedimientos y recursos necesarios para recuperar los productos y servicios; y,

d) Descripción de los procedimientos y recursos necesarios para realizar el retorno a la operación normal. de los productos y servicios.

9.4 El plan de recuperación de los servicios de tecnología de información (TI) describe los aspectos necesarios para el despliegue de las estrategias aprobadas para recuperar los servicios de TI. Dicho plan debe contemplar los siguientes aspectos:

a) Criterios de activación y desactivación;

b) Conformación del equipo a cargo de la recuperación de los servicios de TI, los cuales deben incluir a los proveedores que soporten dichos servicios de TI;

c) Roles y responsabilidades;

d) Descripción de los procedimientos y recursos necesarios para recuperar los servicios de TI; y

e) Descripción de los procedimientos y recursos necesarios para realizar el retorno a la operación normal de los servicios de TI.

9.5 El plan de emergencia describe los aspectos necesarios para salvaguardar la integridad física del personal y público en general en las instalaciones de la empresa.

Artículo 10. Plan de pruebas

10.1 Las pruebas de continuidad deben asegurar el cumplimiento de los objetivos de la gestión de la continuidad del negocio.

10.2 La empresa debe planificar y ejecutar anualmente pruebas de los planes de gestión de crisis, de la continuidad del negocio, de recuperación de los servicios de tecnología de información, y de emergencia.

10.3 En caso de contar con múltiples estrategias para asegurar la continuidad de los productos y servicios priorizados, la empresa debe probar todas ellas en un periodo no mayor a tres años.

10.4 La empresa debe elaborar informes sobre la ejecución de pruebas que incluyan la siguiente información: objetivos y metas de la prueba; características, alcance y escenario; resultados obtenidos y oportunidades de mejora; y, planes de acción a implementar.

10.5 La Superintendencia puede establecer escenarios específicos a considerar para las pruebas a ejecutarse en un determinado periodo.

Artículo 11. Capacitación y cultura organizacional

La empresa debe asegurar el conocimiento necesario y el compromiso con la gestión de la continuidad del negocio en todos los niveles de la organización. Para ello, la empresa debe considerar los siguientes aspectos:

a) Diseñar e implementar programas de capacitación dirigidos a los diferentes niveles organizacionales, de acuerdo a las funciones y responsabilidades asignadas dentro del sistema de gestión de la continuidad del negocio; y,

b) Diseñar y ejecutar actividades que integren la gestión de la continuidad del negocio a la cultura organizacional de la empresa.

Artículo 12. Revisión y actualización

La empresa debe revisar el sistema de gestión de la continuidad del negocio periódicamente o ante nuevos productos o cambios importantes en el ambiente de negocios, operativo o informático. Para dicho efecto, debe establecer políticas para su revisión periódica y lineamientos que permitan identificar situaciones que ameriten su actualización.

SUBCAPÍTULO II

SISTEMA SIMPLIFICADO DE GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO

Artículo 13. Sistema simplificado de gestión de la continuidad del negocio

El sistema simplificado de gestión de la continuidad del negocio debe considerar lo siguiente:

1. Entendimiento de la organización.- La empresa debe priorizar los productos y servicios, y definir los TOR. Los resultados de dichas actividades deben ser aprobados por el comité de riesgos e informados al directorio.

2. Diseño de la estrategia de continuidad.- El directorio debe aprobar las estrategias que permitan asegurar la continuidad en la entrega de los productos y servicios priorizados. En el caso de la recuperación de servicios de TI, la empresa debe implementar un centro de procesamiento de datos alterno que soporte los productos y servicios priorizados.

3. Implementación de la estrategia de continuidad.- Las estrategias aprobadas deben ser documentadas en planes que permitan su despliegue. Dichos planes deben considerar los siguientes aspectos:

a) Conformación de un comité de crisis, criterios para su activación y definición de lineamientos para la toma de decisiones en situación de crisis;

b) Procedimientos y recursos para recuperar la entrega de los productos y servicios priorizados;

c) Procedimientos y recursos para recuperar los servicios de TI; y,

d) Procedimientos para gestionar situaciones de emergencia.

4. Plan de pruebas.- La empresa debe ejecutar pruebas anuales de sus planes. Dichas pruebas deben asegurar la validación de la totalidad de estrategias de continuidad del negocio en un periodo no mayor a dos años.

5. Capacitación y cultura organizacional.- La empresa debe asegurar que su personal tenga los conocimientos suficientes para cumplir con los roles asignados como parte de la gestión de la continuidad del negocio.

6. Revisión y actualización.- La empresa debe revisar periódicamente o ante nuevos productos o cambios importantes en el ambiente de negocios, operativo o informático, su gestión de la continuidad del negocio.

SUBCAPÍTULO III

DISPOSICIONES ADICIONALES APLICABLES A EMPRESAS CON CONCENTRACIÓN DE MERCADO

Artículo 14. Empresa con concentración de mercado

De manera complementaria a las disposiciones contenidas en los subcapítulos I o II, la empresa sujeta a un requerimiento de patrimonio efectivo por riesgo de concentración de mercado, de acuerdo a lo señalado en el Reglamento para el requerimiento de patrimonio efectivo adicional, aprobado mediante Resolución SBS Nº 8425-2011, debe cumplir las siguientes disposiciones como parte de su gestión de la continuidad del negocio:

a) Considerar para el diseño de las estrategias de continuidad, el cumplimiento de los objetivos de recuperación de negocio y los PORs, además de los TORs;

b) Incorporar como parte de los productos y servicios priorizados, aquellos cuya indisponibilidad afectaría a otras empresas del sistema financiero, del sistema de seguros o del sistema privado de administración de fondos de pensiones;

c) Asegurar que al menos uno de los centros de procesamiento alterno de datos permita la recuperación de todos los productos y servicios priorizados, con el fin de cumplir los objetivos de recuperación de negocio, los TORs y los PORs;

d) Asegurar la recuperación de aquellas oficinas y/o agencias previamente identificadas como prioritarias;

e) Identificar el tiempo máximo de operación en situación de contingencia luego de una interrupción;

f) Sustentar, mediante una evaluación de riesgos, que al menos una de las instalaciones destinadas a la recuperación de los productos y servicios priorizados se encontraría disponible ante la ocurrencia de un evento;

g) Implementar estrategias alternativas para la identificación de clientes, que permitan entregar los productos y servicios priorizados ante situaciones de fuerza mayor que impida contar con documentos de identificación empleados en operación normal;

h) Designar a los miembros principales y alternos para el comité de crisis, buscando maximizar la probabilidad de contar con al menos uno de ellos;

i) Implementar un medio de comunicación alternativo a la comunicación tradicional, a fin de asegurar la comunicación con el personal crítico y aquellos que pueden verse afectados por la interrupción de las actividades de la empresas, en caso dicha comunicación falle;

j) Implementar protocolos para la comunicación a través del medio de comunicación alternativo, los cuales deben contemplar la comunicación interna, así como con autoridades, proveedores y todos aquellos que pueden verse afectados por la interrupción de las actividades de la empresa;

k) Realizar capacitaciones periódicas sobre los protocolos de comunicación en crisis y el uso de los mecanismos de comunicación alterna;

l) Implementar redes de comunicaciones de datos redundantes, buscando mitigar los puntos únicos de falla; y,

m) Procesar la información asociada a los productos y servicios priorizados desde más de un centro de procesamiento de datos a la vez (es decir, en modalidad activo-activo o con carga balanceada), asegurando que cada uno de ellos puedan asumir de manera independiente dicho procesamiento ante la ocurrencia de un evento.

SUBCAPÍTULO IV

REPORTES DE INTERRUPCIÓN DE OPERACIONES

Artículo 15. Reporte de eventos de interrupción significativa de operaciones

15.1 La empresa debe informar a la Superintendencia la ocurrencia de un evento de interrupción significativa de operaciones, en cuanto tome conocimiento y dentro de un plazo máximo de un (01) día hábil. Para tal efecto, se entiende como evento de interrupción significativa de operaciones un evento que implique cualquiera de las siguientes situaciones:

a) La suspensión en la entrega de los productos y servicios priorizados por un tiempo mayor a los respectivos TOR; o,

b) La activación del plan de gestión de crisis al que hace referencia el párrafo 9.2 del Artículo 9.

15.2 Adicionalmente y sin perjuicio de lo anterior, las empresas bancarias, las empresas financieras, las CMAC, la CMCP, las CRAC y el Banco de la Nación, deben reportar a la Superintendencia, en cuanto tomen conocimiento, y dentro de un plazo máximo de un (01) día hábil, la ocurrencia de las siguientes situaciones:

a) La suspensión en la entrega de los productos y servicios priorizados por un tiempo mayor a cuatro (04) horas, incluso si el TOR asociado fuera mayor a dicho tiempo; y,

b) La indisponibilidad del 25% o más de un canal de atención en una determinada región geográfica o a nivel nacional, por un periodo mayor a cuatro (04) horas o al TOR definido por la empresa, el que sea menor.

15.3 Las empresas con concentración de mercado, según lo descrito en el Artículo 14, deben reportar a la Superintendencia en cuanto tomen conocimiento, y dentro de un plazo máximo de cuatro (04) horas, cualquier interrupción, degradación u otro tipo de alteración operativa que se mantenga por un periodo mayor a una hora en cualquier canal de atención.

15.4 La información a remitir debe incluir una descripción general del evento ocurrido y debe ser realizada al correo electrónico: continuidad@sbs.gob.pe o, en caso la empresa no tuviera acceso a dicho correo debido a la ocurrencia del evento de interrupción, se debe buscar medios alternativos de comunicación en la medida de lo posible.

15.5 Dentro de los diez (10) días hábiles siguientes a la ocurrencia del evento de interrupción informado a la Superintendencia, la empresa debe remitir un informe detallado en que se explique las razones de la falla, la duración, las líneas de negocio, productos y servicios afectados, según sea el caso, las medidas tomadas para superar el evento, y la situación existente a la fecha de reporte.

Artículo 16. Indicadores de la gestión de la continuidad del negocio

16.1 La empresa debe implementar indicadores para monitorear la gestión de la continuidad del negocio.

16.2 La empresa debe reportar trimestralmente a la Superintendencia los indicadores señalados el Anexo 1 de la presente norma. Los reportes deben ser remitidos a través del “Sub módulo de Captura y Validación Externa” (SUCAVE), dentro de los quince (15) días calendario siguientes al cierre del periodo objeto de reporte. Los formatos de los reportes y sus notas metodológicas se publican en el portal institucional (www.sbs.gob.pe), conforme con lo dispuesto en el Decreto Supremo Nº 001-2009-JUS.

DISPOSICIÓN FINAL Y COMPLEMENTARIA

Única.- Sin perjuicio de lo señalado en el Artículo 4, la Superintendencia puede requerir que una empresa, que cumple con lo dispuesto en el párrafo 4.3 del Artículo 4, cumpla con las disposiciones señaladas en el párrafo 4.2 de dicho artículo.

Artículo Segundo.- Modificar el Artículo 1, primer párrafo del Artículo 7, el Artículo 13 y el primer párrafo del Artículo 15 del Reglamento para la Gestión del Riesgo Operacional, aprobado por Resolución SBS Nº 2116-2009, conforme a los siguientes textos:

“Artículo 1º.- Alcance

El presente Reglamento es de aplicación a las empresas señaladas en el artículo 16º de la Ley General, así como a las Administradoras Privadas de Fondos de Pensiones (AFP), en adelante empresas.

También es de aplicación al Banco de la Nación, el Banco Agropecuario, la Corporación Financiera de Desarrollo (COFIDE), el Fondo MIVIVIENDA S.A., y las Derramas y Cajas de Beneficios bajo control de la Superintendencia, en tanto no se contrapongan con las normativas específicas que regulen el accionar de estas empresas.

Las empresas de servicios complementarios y conexos señaladas en el artículo 17º de la Ley General se sujetan, para la gestión de su riesgo operacional, a lo establecido en normas específicas, así como en el artículo 13 del presente Reglamento.”

“Artículo 7º.- Responsabilidades de la Gerencia

La gerencia general tiene la responsabilidad de implementar la gestión del riesgo operacional conforme a las disposiciones del Directorio para lo cual puede disponer la constitución de los comités que considere pertinentes.

(...)”

“Artículo 13º.- Gestión de la continuidad del negocio y de la seguridad de la información

Como parte de una adecuada gestión del riesgo operacional, la empresa debe implementar un sistema de gestión de la continuidad del negocio conforme a las disposiciones del Reglamento para la Gestión de la Continuidad del Negocio.

Asimismo, la empresa debe contar con un sistema de gestión de la seguridad de la información, orientado a garantizar la integridad, confidencialidad y disponibilidad de su información.”

“Artículo 15º.- Informe a la Superintendencia

La empresa debe presentar a la Superintendencia informes anuales referidos a la gestión del riesgo operacional, a través del aplicativo IG-ROp, el cual se encuentra disponible en el Portal del Supervisado. Dichos informes deben ser remitidos a más tardar el 31 de marzo del año siguiente al año de reporte.

(...)”

Artículo Tercero: Modificar los literales l) y aa) del artículo 2 del Reglamento de Gobierno Corporativo y de la Gestión Integral de Riesgos, aprobado por Resolución SBS Nº 272-2017, de acuerdo a los siguientes textos:

“Artículo 2º.- Definiciones y/o referencias

(...)

l) Evento.- Un suceso o serie de sucesos que puede ser interno o externo a la empresa, originado por la misma causa, que ocurre durante el mismo periodo de tiempo.

(...)

aa) Productos.- Operaciones y/o servicios brindados por la empresa a sus clientes y usuarios.

(...)”

Artículo Cuarto.- El Anexo Nº 1 que contiene los formatos de Indicadores de Riesgo para la Gestión de la Continuidad del Negocio, forma parte del Reglamento para la Gestión de la Continuidad de Negocio aprobado por el Artículo Primero de la presente resolución, y se publica en el Portal Institucional (www.sbs.gob.pe), conforme a lo dispuesto en el Decreto Supremo Nº 001-2009-JUS.

Artículo Quinto.- La presente resolución entra en vigencia el 1 de enero de 2021, fecha a partir de la cual queda sin efecto la Circular Nº G-139-2009, Circular Nº G- 164-2012, así como la Circular Nº G-180-2015.

Artículo Sexto.- Se otorga un plazo de adecuación hasta el 1 de enero de 2022 para el cumplimiento de las disposiciones señaladas en el subcapítulo III del capítulo II del Reglamento para la Gestión de la Continuidad del Negocio aprobado en el Artículo Primero de la presente resolución, aplicable a toda empresa sujeta a requerimiento de patrimonio efectivo por riesgo de concentración de mercado.

Regístrese, comuníquese y publíquese.

SOCORRO HEYSEN ZEGARRA

Superintendenta de Banca, Seguros y

Administradoras Privadas de Fondos de Pensiones

1859742-1