Buscar:
 Normativa >> Reglamento 1318 >> Fecha 20/03/2017 >> Articulo 1
Internet
Año:
Buscar en:
Menú de Búsquedas Avanzadas
Texto completo
Ficha de la norma
Texto del artículo 1
Jurisprudencia relacionada
Jurisp. de Hacienda

Versión original
Versión anterior
Versión siguiente
Versión vigente

Opciones:
Guardar
Imprimir

<<     Artículo 1     >>
Normativa - Reglamento 1318 - Articulo 1
Ir al final de los resultados
Artículo 1
Versión del artículo: 1  de 1

CONSEJO NACIONAL DE SUPERVISIÓN DEL SISTEMA FINANCIERO

El Consejo Nacional de Supervisión del Sistema Financiero en los artículos 9 y 11 de las actas de las sesiones 1318-2017 y 1319-2017, celebradas el 13 y el 20 de marzo del 2017 respectivamente,

dispuso, por mayoría y en firme:

I. En cuanto al Reglamento General de Gestión de la Tecnología de Información:

considerando que:

1. Acuerdo SUGEF 14-09: El Consejo Nacional de Supervisión del Sistema Financiero (CONASSIF), mediante artículo 6, del acta de la sesión 773-2009 del 20 de febrero del 2009 aprobó el Acuerdo SUGEF 14-09 “Reglamento sobre la gestión de la tecnología de información”, que define los criterios y metodología para la evaluación y calificación de la gestión de la tecnología de información para las entidades fiscalizadas por la Superintendencia General de Entidades Financieras (SUGEF).

2. SUGEF: El artículo 131, incisos c) y n) literal ii) de la Ley Orgánica del Banco Central de Costa Rica, Ley 7558, establece como función del Superintendente General de Entidades Financieras proponer al Consejo, para su aprobación, las normas que estime necesarias para el desarrollo de las labores de fiscalización y vigilancia, referentes a periodicidad, alcance, procedimientos y publicación de los informes de las auditorías externas de las entidades fiscalizadas, con el fin de lograr la mayor confiabilidad de estas auditorías. La Superintendencia puede revisar los documentos que respalden las labores de las auditorías externas, incluso los documentos de trabajo y fijar los requisitos por incluir en los dictámenes o las opiniones de los auditores externos.

3. SUGEVAL: El artículo 3 de la Ley Reguladora del Mercado de Valores establece que la Superintendencia General de Valores (SUGEVAL) debe velar por la protección del inversionista y el adecuado funcionamiento del mercado de valores; asimismo el artículo 8 de la Ley 7732, Ley Reguladora del Mercado Valores, inciso b) establece que la SUGEVAL someterá a la consideración del Consejo Nacional los proyectos de reglamento que le corresponda dictar a la Superintendencia, el inciso j) establece la potestad de adoptar todas las acciones necesarias para el cumplimiento efectivo de las funciones de autorización, regulación, supervisión y fiscalización que le competen, y el inciso l) establece la potestad de la Superintendencia para requerir a los supervisados toda la información razonablemente necesaria a fin de cumplir la función supervisora del mercado de valores.

4. SUPEN: El artículo 38, literal f) de la Ley 7523, Régimen Privado de Pensiones, establece como una atribución del Superintendente de Pensiones adoptar todas las acciones necesarias para el cumplimiento efectivo de las funciones de autorización, regulación y fiscalización que le competen a la Superintendencia, según la Ley y las normas emitidas por el Consejo Nacional de Supervisión del Sistema Financiero; por otra parte el Consejo Nacional de Supervisión del Sistema Financiero, mediante artículo 8, del acta de la sesión 975-2012 del 29 de mayo del 2012 aprobó la evaluación cualitativa del riesgo operativo para el cálculo de la suficiencia patrimonial de las operadoras de pensiones complementarias, donde uno de los componentes es la evaluación de la tecnología de información. Finalmente, mediante artículo 7, del acta de la sesión 1066-2013 del 1 de octubre del 2013 aprobó el Reglamento de Calificación de la Situación Financiera de los Fondos Administrados por los Entes Regulados donde se evalúa el riesgo tecnológico en los regímenes de pensiones de beneficio y contribución definidas.

5. SUGESE: El artículo 29 de la Ley Reguladora del Mercado de Seguros, Ley 8653; establece como objeto de la Superintendencia General de Seguros (SUGESE), velar por la estabilidad y el eficiente funcionamiento del mercado de seguros, así como entregar la más amplia información a los asegurados. La misma ley autoriza a la SUGESE para regular y supervisar a las personas que intervengan en los actos o contratos relacionados con la actividad aseguradora, reaseguradora, la oferta pública y la realización de negocios de seguros. Asimismo, en el inciso i) del citado artículo se establece como su función el proponer  al Consejo Nacional, para su aprobación, la normativa reglamentaria que se requiera para la aplicación de esta Ley y para cumplir sus competencias y funciones.

6. CONASSIF: Conforme el artículo 171 de la Ley Reguladora del Mercado Valores, es potestad del Consejo Nacional de Supervisión del Sistema Financiero aprobar las disposiciones referentes a la periodicidad, el alcance, los procedimientos y la publicación de los informes rendidos por las auditorías externas de las entidades fiscalizadas.

7. Gestión de TI: La tecnología de la información (TI) es indispensable para gobernar, gestionar y tomar decisiones dentro de las organizaciones, asimismo, su adecuada administración permite mantener la competitividad y coadyuva en la consecución de las metas y objetivos.

A principios de la década anterior, y en virtud de múltiples casos de quiebras y fraudes asociados a temas operativos y de mala gestión, varios organismos internacionales han emitido disposiciones en las que resaltan la necesidad de mejorar los sistemas de Gobierno Corporativo y en consecuencia, la forma de gobernar TI.

Estos requerimientos plantean el reto de diseñar y mantener controles eficientes que faciliten la gestión de TI desde dos puntos de vista: el primero, tomando a TI como un proceso más del negocio y segundo, tomando a TI como encargado de proveer y mantener la plataforma y los sistemas que apoyan la ejecución del resto de los procesos del negocio.

Esta dualidad implica para las entidades el diseño o la adopción de un marco que les permita gobernar, gestionar y controlar la función de TI, desde ambos puntos de vista en forma consistente.

Dado que la gobernanza orienta, dirige y supervisa la gestión de TI y que las tecnologías de información se consideran factores de riesgo operativo, al que están expuestas las entidades, resulta necesario que este reglamento incluya la evaluación los procesos de gobierno y gestión de TI por parte de las Superintendencias.

8. Necesidad de control de TI: Una inadecuada gestión del riesgo operacional en el área de la tecnología de información en las entidades supervisadas puede repercutir negativamente en la continuidad de sus operaciones; impactando por consiguiente sus patrimonios y concomitantemente, afectando a los clientes de las entidades.

Por lo anterior, resulta indispensable que las entidades supervisadas determinen su marco de gestión, para el control la tecnología de información, que garantice la integridad, seguridad, auditabilidad y disponibilidad de la información y de los servicios ofrecidos.

9. Sobre la implementación del marco de gestión de TI, dispuesto en este reglamento:

El diseño e implementación del marco de gestión de TI requiere por parte de las entidades supervisadas de esfuerzo planificado y progresivo. Con el objeto de facilitar este proceso, su inversión y la definición concomitante de políticas, procesos y estructuras, el modelo de supervisión basada en riesgos le coadyuva, a través de este reglamento, a que la entidad supervisada establezca su marco de gestión de TI en función de sus necesidades según su naturaleza, complejidad, modelo de negocio, volumen de operaciones, criticidad de sus procesos, riesgos y su dependencia tecnológica.

Los lineamientos generales que acompañan el reglamento establecen un periodo de implementación a partir de la entrada en vigencia (gradualidad) que abarca hasta 5 años para entidades supervisadas por la SUGEVAL, SUPEN y SUGESE; asimismo, de 3 años para las entidades supervisadas por la SUGEF, este último plazo en consideración del avance logrado a partir de los requerimientos del Acuerdo SUGEF 14- 09 “Reglamento sobre la Gestión de la Tecnología de Información”. Estos plazos se estiman razonables para que las entidades puedan efectuar las adecuaciones necesarias para la implementación efectiva de su marco de gestión de TI.

Por otra parte, de acuerdo con la experiencia de la aplicación del “Reglamento sobre la Gestión de la Tecnología de Información” en SUGEF, se estima prudente mantener el lapso de nueve meses, contados a partir de la notificación del requerimiento de auditoría externa de TI, para la remisión de los entregables de la auditoría externa de TI del marco de gestión de TI, así como sobre cualquier otro criterio que se considere necesario en virtud del perfil de riesgo de la entidad.

Dicha holgura permite a las entidades desarrollar los aspectos procedimentales necesarios a efecto de la contratación, ejecución y entrega de los resultados de la auditoría externa. Finalmente, el Consejo ha considerado razonable el plazo de veinte días hábiles para la remisión del plan de acción, cuando haya sido requerido por alguna superintendencia. Dicha conclusión se desprende del hecho que una entidad va recibiendo retroalimentación conforme evoluciona la auditoría externa, de manera que una vez finalizada, ya cuenta con suficientes elementos y datos que le permiten perfilar un conjunto de acciones.

10. Supervisión basada en riesgos: La supervisión basada en riesgos se caracteriza por la migración de un modelo basado en reglas hacia un enfoque donde la entidad supervisada es responsable de una gestión integral de los riesgos del negocio. En este enfoque corresponde a la entidad supervisada determinar, dentro de esa gestión de riesgos el marco de gestión de TI que se adapten a su negocio, de manera que le permita identificar y establecer las medidas de mitigación para los riesgos que surgen de TI; por ello, la regulación se enfoca a un marco de gestión de TI con aquellas características prudenciales suficientes para el supervisor, sin que necesariamente se definan, puntualmente, determinados estándares o herramientas de control. En esta misma lógica, el reglamento que se emite encuentra sentido como parte de una estructura normativa transversal al sistema financiero, que no sustituye lo procesos de supervisión sobre riesgo operacional que ya se desarrollan, sino que viene a complementarlos, aportando información que nutre el criterio del supervisor a partir del aporte de especialistas externos.

11. Estándares disponibles como marco de referencia: La industria y los profesionales en TI, han venido desde hace varias décadas desarrollando estándares y marcos que permitan gestionar y controlar las tecnologías. Ante la incertidumbre y costo que significa el desarrollo interno de un marco de gestión de TI, las organizaciones han propendido por adoptar alguno de los marcos o estándares disponibles.

Marcos de referencia como Cobit e ITIL y estándares como ISO gozan en la actualidad de aceptación general, desde la visión del supervisor; Cobit es un marco apropiado que se ajusta al negocio y facilita que las organizaciones desarrollen un ambiente de control que responda a las necesidades del negocio, además de estandarizar procesos de TI, limitar desviaciones de los objetivos de negocio y particularmente lograr un balance entre los riesgos que introduce la tecnología de información y su aporte de valor al desempeño y rentabilidad. Estos marcos igualmente permiten el desarrollo del enfoque de supervisión basada en riesgos, por las siguientes razones:

Desde la óptica del negocio:

a. Enfoque en Gobierno de TI: El marco se desarrolla dentro del nuevo enfoque de gobernabilidad de TI como parte del buen gobierno corporativo, procurando mayor involucramiento con los procesos clave, definiendo una estructura de relaciones y procesos diseñados y ejecutados por la entidad para dirigir y controlar la tecnología, sus riesgos y vinculación con las estrategias y objetivos de negocio.

b. Satisface los requerimientos de negocio: Integración más clara entre los objetivos del negocio y la TI, mediante objetivos en el modelo de cascada y métricas que los soportan.

c. Logra la armonización: Integración optimizada de otros estándares internacionales.

d. Definiciones y flujos de procesos: Optimización en las descripciones de los procesos, actividades, entradas y salidas.

e. Lenguaje y presentación: Utiliza un lenguaje accesible para todo tipo de usuario, mismo que permite a ejecutivos no versados en conocimientos tecnológicos identificar y comprender los principales aspectos de TI.

Desde la óptica del supervisor:

f. Permite evaluar la integración de los procesos de TI con los procesos y líneas de negocio y el logro de los objetivos de la entidad.

g. Permite identificar el grado de dependencia de las entidades de la tecnología de información en sus operaciones.

h. Permite identificar los perfiles de riesgo en TI de los supervisados, con el propósito de concentrar esfuerzos en entidades con mayor exposición o con mayores debilidades de control.

i. Es un marco integrador (alineado con otros estándares y buenas prácticas que puede usarse en conjunto con ellas), enfocado al negocio, y diseñado para ser utilizado por una amplia gama de usuarios, pero principalmente, como guía integral para alta administración y para los líderes o responsables de los procesos y líneas de negocio.

12. Sobre la estrategia del supervisor: La experiencia con los intermediarios financieros en relación con el proceso de implementación del marco de gestión de TI del Acuerdo SUGEF 14-09 “Reglamento sobre la Gestión de la Tecnología de Información”, develó que varios grupos y conglomerados financieros gestionan la tecnología de información de forma corporativa en las empresas que los integran. Conscientes de esta realidad, el CONASSIF ha concebido la necesidad de integrar en un solo cuerpo normativo los requerimientos de control para la gestión de TI para un grupo o conglomerado. Dicha estrategia tiene como objetivo permitir entre otros aspectos, la estandarización de procesos, la generación de economías de escala y la creación de una cultura proclive a la mejora de la gobernabilidad de la TI.

El reglamento que se emite también reconoce que entre los supervisados se presentan diferencias en el grado de dependencia de las tecnologías de información y que, como consecuencia, la materialización de los riesgos a esas tecnologías les impacta de manera diferente. Esa condición se refleja al implementar el principio de “proporcionalidad” que rige los esquemas de supervisión basada en riesgo. Dicho principio promueve que las prácticas y demandas de supervisión se definan y apliquen en consonancia con el perfil de riesgo y la importancia sistémica de los supervisados, el enfoque asumido permite que los supervisados agreguen otros estándares o bien que exista una exigencia particular en función de su rol dentro del mercado en que opera. Finalmente, sobre una base de costo beneficio, naturaleza de la entidad y perfil tecnológico; se permite la definición de marcos de gestión de TI diferentes en reconocimiento de estas diferencias.

La pretensión última de esta estrategia es generar, bajo un esquema de supervisión integrada y coordinada, mejoras en el nivel de la gestión de la tecnología de información y sus riesgos asociados, como herramienta para contribuir al proceso de gestión de riesgos y de preparación ante los retos que impone un ambiente financiero competitivo e innovador.

13. Auditoría externa: La auditoría de los sistemas de tecnología de información es una actividad altamente especializada para la cual existen certificaciones con reconocimiento mundial; se considera conveniente, que la revisión del marco de gestión de TI y cualquier otro criterio que las Superintendencias consideren necesario en virtud del perfil de riesgo de las entidades supervisadas, sea ejecutada por auditores externos con el fin de contribuir con la eficiencia en el proceso de supervisión. Los resultados de esta auditoría pueden enriquecer la supervisión en torno a los riesgos operacionales y de tecnología de la información que realizan las Superintendencias y se constituye en un elemento adicional dentro de la supervisión basada en riesgos.

14. Registro de Auditores Elegibles: Actualmente se cuenta con un registro de auditores con requisitos en torno a su capacidad e independencia, dicho registro se concentra en auditores financieros, sin embargo;, con el propósito de ir avanzando en la integración en un solo cuerpo reglamentario, que regule los requerimientos de los distintos profesionales que convergen en procesos de revisión y auditoria, se amplía el alcance de este registro para que incluya a los auditores externos de tecnologías de la información.

15. Comité de TI: El Reglamento de Gobierno Corporativo señala dentro de las funciones del Órgano de Dirección, establecer los comités técnicos que considere pertinentes para la buena gestión de la entidad, por  lo que la creación del comité de TI estará en función de las necesidades de las entidades supervisadas según su naturaleza, complejidad, modelo de negocio, volumen de operaciones, criticidad de sus procesos y su dependencia tecnológica.

16. Coordinación entre superintendencias: Para evitar costos innecesarios a las entidades supervisadas resulta imprescindible coordinar los procesos de supervisión de las diferentes superintendencias cuando una misma unidad de TI presta servicios a entidades supervisadas por distintos órganos supervisores.

17. El inciso i) del artículo 171 de la Ley Reguladora del Mercado de Valores establece como una de las funciones del Consejo Nacional de Supervisión del Sistema Financiero reglamentar el intercambio de información que podrán realizar entre sí las diferentes Superintendencias, para el estricto cumplimiento de sus funciones de supervisión prudencial. La Superintendencia que reciba información en virtud de este inciso, deberá mantener las obligaciones de confidencialidad a que está sujeto el receptor inicial de dicha información.

resolvió:

Aprobar el Reglamento General de Gestión de la Tecnología de Información, de conformidad con el siguiente texto:

REGLAMENTO GENERAL DE GESTIÓN DE LA TECNOLOGÍA DE INFORMACIÓN

CAPÍTULO I

DISPOSICIONES GENERALES

Artículo 1. Objeto. Este Reglamento establece los requerimientos mínimos para la gestión de la tecnología de información que deben acatar las entidades supervisadas y reguladas del sistema financiero costarricense.

(Nota de Sinalevi: Mediante el artículo 116 del Reglamento sobre Supervisión Consolidada  (Acuerdo CONASSIF 16-22), aprobado en sesión N° 1759-2022 del 26 de setiembre del 2022 se reformará este artículo. De conformidad con lo establecido en la indicada norma la mima empieza a regir a partir del 1° de enero del 2023, por lo que a partir de esa fecha el texto de dicho artículo será el siguiente: “Artículo 1. Objeto

Este Reglamento establece los requerimientos mínimos para la gestión de la tecnología de información que deben acatar las entidades y empresas supervisadas y reguladas del sistema financiero costarricense.)
Ir al inicio de los resultados