Transcription of SUGEF 14-17 (v 4 16 de setiembre de 2020)
1 ACUERDO SUGEF 14-17 REGLAMENTO GENERAL DE GESTI N DE LA TECNOLOG A DE INFORMACI N Aprobado por el Consejo Nacional de Supervisi n del Sistema Financiero, mediante art culos 9 y 11 de las actas de las sesiones 1318-2017 y 1319-2017, celebradas el 13 y el 20 de marzo del 2017 respectivamente. Publicado en el Alcance No 80 del diario oficial La Gaceta No 71 del 17 de abril del 2017 Rige diez d as h biles despu s de su publicaci n en el diario oficial La Gaceta. VER CONSIDERANDOS DEL REGLAMENTO VER REGLAMENTO VER LINEAMIENTOS GENERALES VER HISTORIAL DE CAMBIOS Versi n documento Fecha de actualizaci n 4 16 de setiembre de 2020 P gina ii Acuerdo SUGEF 14-17 ACUERDO SUGEF 14-17 .. I CONSIDERANDOS .. 1 REGLAMENTO GENERAL DE GESTI N DE LA TECNOLOG A DE INFORMACI N > .. 9 CAP TULO I .. 9 DISPOSICIONES GENERALES .. 9 Art culo 1. Objeto .. 9 Art culo 2. Alcance.
2 9 Art culo 3. Definiciones y abreviaturas .. 10 Art culo 4. Lineamientos Generales .. 13 Art culo 5. Coordinaci n entre superintendencias .. 13 CAPITULO II .. 13 ORGANIZACI N DE LAS TECNOLOG AS DE INFORMACI N .. 13 Art culo 6. Unidad de 13 Art culo 7. Gobierno de TI .. 13 Art culo 8. Gesti n de TI .. 14 CAPITULO III .. 15 DE LA SUPERVISI N Y AUDITOR A EXTERNA DE TI .. 15 SECCI N I: PERFIL TECNOL GICO Y TIPO DE GESTI N DE TI .. 15 Art culo 9. Perfil tecnol gico .. 15 Art culo 10. Tipo de gesti n de TI .. 15 SECCI N II: AUDITOR A EXTERNA DE TI .. 15 Art culo 11. Auditor a de las Tecnolog as de Informaci n .. 15 Art culo 12. Alcance y plazo de la auditor a .. 16 Art culo 13. Productos entregables .. 17 Art culo 14. Presentaci n de resultados de la auditor a externa de TI .. 17 SECCI N III: REPORTE SUPERVISOR Y PLAN DE ACCI N .. 18 Art culo 15. Reporte de Supervisi 18 Art culo 16.
3 Plan de Acci n .. 18 SECCI N IV: PR RROGAS Y CALIFICACI N DE RIESGOS DE TI .. 19 Art culo 17. Pr rrogas .. 19 Art culo 18. Calificaci n de riesgos de TI .. 20 SECCI N V: BASES DE DATOS .. 20 Art culo 19. Bases de datos .. 20 DISPOSICI N TRANSITORIA NICA .. 21 DISPOSICIONES DEROGATORIAS .. 21 DISPOSICI N FINAL .. 21 LINEAMIENTOS GENERALES AL REGLAMENTO GENERAL DE GESTI N DE LA TECNOLOG A DE INFORMACI N .. 23 1. Marco de gesti n de TI y periodo de transici n (Art culo 8 y transitorio nico) .. 23 P gina iii Acuerdo SUGEF 14-17 2. Perfil tecnol gico (Art culo 9) .. 25 3. Tipo de gesti n de TI (Art culo 10) .. 25 4. Criterios complementarios para la ejecuci n de la auditor a (Art culos 11 y 12) .. 26 5. Formato del informe de auditor a externa de TI (Art culo 13) .. 27 6. Matriz de evaluaci n (Art culo 13) .. 29 7. Contenido m nimo de la presentaci n de salida (Art culo 14).
4 29 8. Formato del plan de acci n (Art culo 16) .. 30 9. Bases de datos (Art culo 19) .. 30 10. Plazos (Art culos 9, 10, 12, 14, 15, 17) .. 31 ANEXO 1: PROCESOS DEL MARCO DE GESTI N DE TI .. 33 M O D I F I C A C I O N E S .. ERROR! MARCADOR NO DEFINIDO. HISTORIAL DE CAMBIOS .. 49 P gina 1 Acuerdo SUGEF 14-17 CONSIDERANDOS El Consejo Nacional de Supervisi n del Sistema Financiero, mediante art culos 9 y 11 de las actas de las sesiones 1318-2017 y 1319-2017, celebradas el 13 y el 20 de marzo del 2017 respectivamente. Dispuso por mayor a, y en firme: Considerando que: 1. Acuerdo SUGEF 14-09: El Consejo Nacional de Supervisi n del Sistema Financiero (CONASSIF), mediante art culo 6, del acta de la sesi n 773-2009 del 20 de febrero del 2009 aprob el Acuerdo SUGEF 14-09 Reglamento sobre la gesti n de la tecnolog a de informaci n , que define los criterios y metodolog a para la evaluaci n y calificaci n de la gesti n de la tecnolog a de informaci n para las entidades fiscalizadas por la superintendencia General de Entidades Financieras ( SUGEF ).
5 2. SUGEF : El art culo 131, incisos c) y n) literal ii) de la Ley Org nica del Banco Central de Costa Rica, Ley 7558, establece como funci n del Superintendente General de Entidades Financieras proponer al Consejo, para su aprobaci n, las normas que estime necesarias para el desarrollo de las labores de fiscalizaci n y vigilancia, referentes a periodicidad, alcance, procedimientos y publicaci n de los informes de las auditor as externas de las entidades fiscalizadas, con el fin de lograr la mayor confiabilidad de estas auditor as. la superintendencia puede revisar los documentos que respalden las labores de las auditor as externas, incluso los documentos de trabajo y fijar los requisitos por incluir en los dict menes o las opiniones de los auditores externos. 3. SUGEVAL: El art culo 3 de la Ley Reguladora del Mercado de Valores establece que la superintendencia General de Valores (SUGEVAL) debe velar por la protecci n del inversionista y el adecuado funcionamiento del mercado de valores; asimismo el art culo 8 de la Ley 7732, Ley Reguladora del Mercado Valores, inciso b) establece que la SUGEVAL someter a la consideraci n del Consejo Nacional los proyectos de reglamento que le corresponda dictar a la superintendencia , el inciso j) establece la potestad de adoptar todas las acciones necesarias para el cumplimiento efectivo de las funciones de autorizaci n, regulaci n, supervisi n y fiscalizaci n que le competen, y el inciso l) establece la potestad de la superintendencia para requerir a los supervisados toda la informaci n razonablemente necesaria a fin de cumplir la funci n supervisora del mercado de valores.
6 P gina 2 Acuerdo SUGEF 14-17 4. SUPEN: El art culo 38, literal f) de la Ley 7523, R gimen Privado de Pensiones, establece como una atribuci n del Superintendente de Pensiones adoptar todas las acciones necesarias para el cumplimiento efectivo de las funciones de autorizaci n, regulaci n y fiscalizaci n que le competen a la superintendencia , seg n la Ley y las normas emitidas por el Consejo Nacional de Supervisi n del Sistema Financiero; por otra parte el Consejo Nacional de Supervisi n del Sistema Financiero, mediante art culo 8, del acta de la sesi n 975-2012 del 29 de mayo del 2012 aprob la evaluaci n cualitativa del riesgo operativo para el c lculo de la suficiencia patrimonial de las operadoras de pensiones complementarias, donde uno de los componentes es la evaluaci n de la tecnolog a de informaci n. Finalmente, mediante art culo 7, del acta de la sesi n 1066-2013 del 1 de octubre del 2013 aprob el Reglamento de Calificaci n de la Situaci n Financiera de los Fondos Administrados por los Entes Regulados donde se eval a el riesgo tecnol gico en los reg menes de pensiones de beneficio y contribuci n definidas.
7 5. SUGESE: El art culo 29 de la Ley Reguladora del Mercado de Seguros, Ley 8653; establece como objeto de la superintendencia General de Seguros (SUGESE), velar por la estabilidad y el eficiente funcionamiento del mercado de seguros, as como entregar la m s amplia informaci n a los asegurados. La misma ley autoriza a la SUGESE para regular y supervisar a las personas que intervengan en los actos o contratos relacionados con la actividad aseguradora, reaseguradora, la oferta p blica y la realizaci n de negocios de seguros. Asimismo, en el inciso i) del citado art culo se establece como su funci n el proponer al Consejo Nacional, para su aprobaci n, la normativa reglamentaria que se requiera para la aplicaci n de esta Ley y para cumplir sus competencias y funciones. 6. CONASSIF: Conforme el art culo 171 de la Ley Reguladora del Mercado Valores, es potestad del Consejo Nacional de Supervisi n del Sistema Financiero aprobar las disposiciones referentes a la periodicidad, el alcance, los procedimientos y la publicaci n de los informes rendidos por las auditor as externas de las entidades fiscalizadas.
8 7. Gesti n de TI: La tecnolog a de la informaci n (TI) es indispensable para gobernar, gestionar y tomar decisiones dentro de las organizaciones, asimismo, su adecuada administraci n permite mantener la competitividad y coadyuva en la consecuci n de las metas y objetivos. A principios de la d cada anterior, y en virtud de m ltiples casos de quiebras y fraudes asociados a temas operativos y de mala gesti n, varios organismos internacionales han emitido disposiciones en las que resaltan la necesidad de P gina 3 Acuerdo SUGEF 14-17 mejorar los sistemas de Gobierno Corporativo y en consecuencia, la forma de gobernar TI. Estos requerimientos plantean el reto de dise ar y mantener controles eficientes que faciliten la gesti n de TI desde dos puntos de vista: el primero, tomando a TI como un proceso m s del negocio y segundo, tomando a TI como encargado de proveer y mantener la plataforma y los sistemas que apoyan la ejecuci n del resto de los procesos del negocio.
9 Esta dualidad implica para las entidades el dise o o la adopci n de un marco que les permita gobernar, gestionar y controlar la funci n de TI, desde ambos puntos de vista en forma consistente. Dado que la gobernanza orienta, dirige y supervisa la gesti n de TI y que las tecnolog as de informaci n se consideran factores de riesgo operativo, al que est n expuestas las entidades, resulta necesario que este reglamento incluya la evaluaci n de los procesos de gobierno y gesti n de TI por parte de las Superintendencias. 8. Necesidad de control de TI: Una inadecuada gesti n del riesgo operacional en el rea de la tecnolog a de informaci n en las entidades supervisadas puede repercutir negativamente en la continuidad de sus operaciones; impactando por consiguiente sus patrimonios y concomitantemente, afectando a los clientes de las entidades. Por lo anterior, resulta indispensable que las entidades supervisadas determinen su marco de gesti n, para el control de la tecnolog a de informaci n, que garantice la integridad, seguridad, auditabilidad y disponibilidad de la informaci n y de los servicios ofrecidos.
10 9. Sobre la implementaci n del marco de gesti n de TI, dispuesto en este reglamento: El dise o e implementaci n del marco de gesti n de TI requiere por parte de las entidades supervisadas de esfuerzo planificado y progresivo. Con el objeto de facilitar este proceso, su inversi n y la definici n concomitante de pol ticas, procesos y estructuras, el modelo de supervisi n basada en riesgos le coadyuva, a trav s de este reglamento, a que la entidad supervisada establezca su marco de gesti n de TI en funci n de sus necesidades seg n su naturaleza, complejidad, modelo de negocio, volumen de operaciones, criticidad de sus procesos, riesgos y su dependencia tecnol gica. P gina 4 Acuerdo SUGEF 14-17 Los lineamientos generales que acompa an el reglamento establecen un periodo de implementaci n a partir de la entrada en vigencia (gradualidad) que abarca hasta 5 a os para entidades supervisadas por la SUGEVAL, SUPEN y SUGESE; asimismo, de 3 a os para las entidades supervisadas por la SUGEF , este ltimo plazo en consideraci n del avance logrado a partir de los requerimientos del Acuerdo SUGEF 14-09 Reglamento sobre la Gesti n de la Tecnolog a de Informaci n.
