CONSEJO NACIONAL DE SUPERVISIÓN DEL SISTEMA
FINANCIERO
El
Consejo Nacional de Supervisión del Sistema Financiero en los artículos 9 y 11
de las actas de las sesiones 1318-2017 y 1319-2017, celebradas el 13 y el 20 de
marzo del 2017 respectivamente,
dispuso,
por mayoría y en firme:
I. En
cuanto al Reglamento General de Gestión de la Tecnología de Información:
considerando
que:
1.
Acuerdo SUGEF 14-09: El Consejo Nacional de Supervisión del Sistema Financiero
(CONASSIF), mediante artículo 6, del acta de la sesión 773-2009 del 20 de
febrero del 2009 aprobó el Acuerdo SUGEF 14-09 "Reglamento sobre la gestión de
la tecnología de información", que define los criterios y metodología para la
evaluación y calificación de la gestión de la tecnología de información para
las entidades fiscalizadas por la Superintendencia General de Entidades
Financieras (SUGEF).
2.
SUGEF: El artículo 131, incisos c) y n) literal ii) de la Ley Orgánica del
Banco Central de Costa Rica, Ley 7558, establece como función del Superintendente
General de Entidades Financieras proponer al Consejo, para su aprobación, las
normas que estime necesarias para el desarrollo de las labores de fiscalización
y vigilancia, referentes a periodicidad, alcance, procedimientos y publicación
de los informes de las auditorías externas de las entidades fiscalizadas, con
el fin de lograr la mayor confiabilidad de estas auditorías. La
Superintendencia puede revisar los documentos que respalden las labores de las
auditorías externas, incluso los documentos de trabajo y fijar los requisitos
por incluir en los dictámenes o las opiniones de los auditores externos.
3.
SUGEVAL: El artículo 3 de la Ley Reguladora del Mercado de Valores establece
que la Superintendencia General de Valores (SUGEVAL) debe velar por la
protección del inversionista y el adecuado funcionamiento del mercado de
valores; asimismo el artículo 8 de la Ley 7732, Ley Reguladora del Mercado
Valores, inciso b) establece que la SUGEVAL someterá a la consideración del
Consejo Nacional los proyectos de reglamento que le corresponda dictar a la
Superintendencia, el inciso j) establece la potestad de adoptar todas las
acciones necesarias para el cumplimiento efectivo de las funciones de
autorización, regulación, supervisión y fiscalización que le competen, y el
inciso l) establece la potestad de la Superintendencia para requerir a los
supervisados toda la información razonablemente necesaria a fin de cumplir la
función supervisora del mercado de valores.
4.
SUPEN: El artículo 38, literal f) de la Ley 7523, Régimen Privado de Pensiones,
establece como una atribución del Superintendente de Pensiones adoptar todas
las acciones necesarias para el cumplimiento efectivo de las funciones de
autorización, regulación y fiscalización que le competen a la Superintendencia,
según la Ley y las normas emitidas por el Consejo Nacional de Supervisión del
Sistema Financiero; por otra parte el Consejo Nacional de Supervisión del
Sistema Financiero, mediante artículo 8, del acta de la sesión 975-2012 del 29
de mayo del 2012 aprobó la evaluación cualitativa del riesgo operativo para el
cálculo de la suficiencia patrimonial de las operadoras de pensiones
complementarias, donde uno de los componentes es la evaluación de la tecnología
de información. Finalmente, mediante artículo 7, del acta de la sesión
1066-2013 del 1 de octubre del 2013 aprobó el Reglamento de Calificación de la
Situación Financiera de los Fondos Administrados por los Entes Regulados donde
se evalúa el riesgo tecnológico en los regímenes de pensiones de beneficio y
contribución definidas.
5.
SUGESE: El artículo 29 de la Ley Reguladora del Mercado de Seguros, Ley 8653;
establece como objeto de la Superintendencia General de Seguros (SUGESE), velar
por la estabilidad y el eficiente funcionamiento del mercado de seguros, así
como entregar la más amplia información a los asegurados. La misma ley autoriza
a la SUGESE para regular y supervisar a las personas que intervengan en los
actos o contratos relacionados con la actividad aseguradora, reaseguradora, la
oferta pública y la realización de negocios de seguros. Asimismo, en el inciso
i) del citado artículo se establece como su función el proponer al Consejo Nacional, para su aprobación, la
normativa reglamentaria que se requiera para la aplicación de esta Ley y para
cumplir sus competencias y funciones.
6. CONASSIF: Conforme el artículo 171 de la Ley Reguladora
del Mercado Valores, es potestad del Consejo Nacional de Supervisión del
Sistema Financiero aprobar las disposiciones referentes a la periodicidad, el
alcance, los procedimientos y la publicación de los informes rendidos por las
auditorías externas de las entidades fiscalizadas.
7.
Gestión de TI: La tecnología de la información (TI) es indispensable para
gobernar, gestionar y tomar decisiones dentro de las organizaciones, asimismo,
su adecuada administración permite mantener la competitividad y coadyuva en la
consecución de las metas y objetivos.
A
principios de la década anterior, y en virtud de múltiples casos de quiebras y
fraudes asociados a temas operativos y de mala gestión, varios organismos
internacionales han emitido disposiciones en las que resaltan la necesidad de
mejorar los sistemas de Gobierno Corporativo y en consecuencia, la forma de
gobernar TI.
Estos
requerimientos plantean el reto de diseñar y mantener controles eficientes que
faciliten la gestión de TI desde dos puntos de vista: el primero, tomando a TI
como un proceso más del negocio y segundo, tomando a TI como encargado de
proveer y mantener la plataforma y los sistemas que apoyan la ejecución del
resto de los procesos del negocio.
Esta
dualidad implica para las entidades el diseño o la adopción de un marco que les
permita gobernar, gestionar y controlar la función de TI, desde ambos puntos de
vista en forma consistente.
Dado
que la gobernanza orienta, dirige y supervisa la gestión de TI y que las
tecnologías de información se consideran factores de riesgo operativo, al que
están expuestas las entidades, resulta necesario que este reglamento incluya la
evaluación los procesos de gobierno y gestión de TI por parte de las
Superintendencias.
8.
Necesidad de control de TI: Una inadecuada gestión del riesgo operacional en el
área de la tecnología de información en las entidades supervisadas puede
repercutir negativamente en la continuidad de sus operaciones; impactando por
consiguiente sus patrimonios y concomitantemente, afectando a los clientes de
las entidades.
Por lo
anterior, resulta indispensable que las entidades supervisadas determinen su
marco de gestión, para el control la tecnología de información, que garantice
la integridad, seguridad, auditabilidad y disponibilidad de la información y de
los servicios ofrecidos.
9.
Sobre la implementación del marco de gestión de TI, dispuesto en este
reglamento:
El diseño e implementación del
marco de gestión de TI requiere por parte de las entidades supervisadas de
esfuerzo planificado y progresivo. Con el objeto de facilitar este proceso, su
inversión y la definición concomitante de políticas, procesos y estructuras, el
modelo de supervisión basada en riesgos le coadyuva, a través de este
reglamento, a que la entidad supervisada establezca su marco de gestión de TI
en función de sus necesidades según su naturaleza, complejidad, modelo de
negocio, volumen de operaciones, criticidad de sus procesos, riesgos y su
dependencia tecnológica.
Los
lineamientos generales que acompañan el reglamento establecen un periodo de
implementación a partir de la entrada en vigencia (gradualidad) que abarca
hasta 5 años para entidades supervisadas por la SUGEVAL, SUPEN y SUGESE;
asimismo, de 3 años para las entidades supervisadas por la SUGEF, este último
plazo en consideración del avance logrado a partir de los requerimientos del
Acuerdo SUGEF 14- 09 "Reglamento sobre la Gestión de la Tecnología de
Información". Estos plazos se estiman razonables para que las entidades puedan
efectuar las adecuaciones necesarias para la implementación efectiva de su
marco de gestión de TI.
Por otra parte, de acuerdo con la experiencia de la
aplicación del "Reglamento sobre la Gestión de la Tecnología de Información" en
SUGEF, se estima prudente mantener el lapso de nueve meses, contados a partir
de la notificación del requerimiento de auditoría externa de TI, para la
remisión de los entregables de la auditoría externa de TI del marco de gestión
de TI, así como sobre cualquier otro criterio que se considere necesario en
virtud del perfil de riesgo de la entidad.
Dicha holgura permite a las
entidades desarrollar los aspectos procedimentales necesarios a efecto de la
contratación, ejecución y entrega de los resultados de la auditoría externa.
Finalmente, el Consejo ha considerado razonable el plazo de veinte días hábiles
para la remisión del plan de acción, cuando haya sido requerido por alguna
superintendencia. Dicha conclusión se desprende del hecho que una entidad va
recibiendo retroalimentación conforme evoluciona la auditoría externa, de
manera que una vez finalizada, ya cuenta con suficientes elementos y datos que
le permiten perfilar un conjunto de acciones.
10.
Supervisión basada en riesgos: La supervisión basada en riesgos se caracteriza
por la migración de un modelo basado en reglas hacia un enfoque donde la
entidad supervisada es responsable de una gestión integral de los riesgos del
negocio. En este enfoque corresponde a la entidad supervisada determinar,
dentro de esa gestión de riesgos el marco de gestión de TI que se adapten a su
negocio, de manera que le permita identificar y establecer las medidas de
mitigación para los riesgos que surgen de TI; por ello, la regulación se enfoca
a un marco de gestión de TI con aquellas características prudenciales
suficientes para el supervisor, sin que necesariamente se definan,
puntualmente, determinados estándares o herramientas de control. En esta misma
lógica, el reglamento que se emite encuentra sentido como parte de una
estructura normativa transversal al sistema financiero, que no sustituye lo
procesos de supervisión sobre riesgo operacional que ya se desarrollan, sino
que viene a complementarlos, aportando información que nutre el criterio del
supervisor a partir del aporte de especialistas externos.
11.
Estándares disponibles como marco de referencia: La industria y los
profesionales en TI, han venido desde hace varias décadas desarrollando
estándares y marcos que permitan gestionar y controlar las tecnologías. Ante la
incertidumbre y costo que significa el desarrollo interno de un marco de
gestión de TI, las organizaciones han propendido por adoptar alguno de los
marcos o estándares disponibles.
Marcos
de referencia como Cobit e ITIL y estándares como ISO gozan en la actualidad de
aceptación general, desde la visión del supervisor; Cobit es un marco apropiado
que se ajusta al negocio y facilita que las organizaciones desarrollen un
ambiente de control que responda a las necesidades del negocio, además de
estandarizar procesos de TI, limitar desviaciones de los objetivos de negocio y
particularmente lograr un balance entre los riesgos que introduce la tecnología
de información y su aporte de valor al desempeño y rentabilidad. Estos marcos
igualmente permiten el desarrollo del enfoque de supervisión basada en riesgos,
por las siguientes razones:
Desde
la óptica del negocio:
a.
Enfoque en Gobierno de TI: El marco se desarrolla dentro del nuevo enfoque de
gobernabilidad de TI como parte del buen gobierno corporativo, procurando mayor
involucramiento con los procesos clave, definiendo una estructura de relaciones
y procesos diseñados y ejecutados por la entidad para dirigir y controlar la
tecnología, sus riesgos y vinculación con las estrategias y objetivos de
negocio.
b.
Satisface los requerimientos de negocio: Integración más clara entre los
objetivos del negocio y la TI, mediante objetivos en el modelo de cascada y
métricas que los soportan.
c.
Logra la armonización: Integración optimizada de otros estándares
internacionales.
d.
Definiciones y flujos de procesos: Optimización en las descripciones de los
procesos, actividades, entradas y salidas.
e.
Lenguaje y presentación: Utiliza un lenguaje accesible para todo tipo de
usuario, mismo que permite a ejecutivos no versados en conocimientos
tecnológicos identificar y comprender los principales aspectos de TI.
Desde la óptica del supervisor:
f.
Permite evaluar la integración de los procesos de TI con los procesos y líneas
de negocio y el logro de los objetivos de la entidad.
g.
Permite identificar el grado de dependencia de las entidades de la tecnología
de información en sus operaciones.
h.
Permite identificar los perfiles de riesgo en TI de los supervisados, con el
propósito de concentrar esfuerzos en entidades con mayor exposición o con
mayores debilidades de control.
i. Es
un marco integrador (alineado con otros estándares y buenas prácticas que puede
usarse en conjunto con ellas), enfocado al negocio, y diseñado para ser
utilizado por una amplia gama de usuarios, pero principalmente, como guía
integral para alta administración y para los líderes o responsables de los
procesos y líneas de negocio.
12.
Sobre la estrategia del supervisor: La experiencia con los intermediarios
financieros en relación con el proceso de implementación del marco de gestión
de TI del Acuerdo SUGEF 14-09 "Reglamento sobre la Gestión de la Tecnología de
Información", develó que varios grupos y conglomerados financieros gestionan la
tecnología de información de forma corporativa en las empresas que los
integran. Conscientes de esta realidad, el CONASSIF ha concebido la necesidad
de integrar en un solo cuerpo normativo los requerimientos de control para la
gestión de TI para un grupo o conglomerado. Dicha estrategia tiene como
objetivo permitir entre otros aspectos, la estandarización de procesos, la
generación de economías de escala y la creación de una cultura proclive a la
mejora de la gobernabilidad de la TI.
El
reglamento que se emite también reconoce que entre los supervisados se
presentan diferencias en el grado de dependencia de las tecnologías de
información y que, como consecuencia, la materialización de los riesgos a esas
tecnologías les impacta de manera diferente. Esa condición se refleja al
implementar el principio de "proporcionalidad" que rige los esquemas de
supervisión basada en riesgo. Dicho principio promueve que las prácticas y
demandas de supervisión se definan y apliquen en consonancia con el perfil de
riesgo y la importancia sistémica de los supervisados, el enfoque asumido
permite que los supervisados agreguen otros estándares o bien que exista una
exigencia particular en función de su rol dentro del mercado en que opera.
Finalmente, sobre una base de costo beneficio, naturaleza de la entidad y
perfil tecnológico; se permite la definición de marcos de gestión de TI
diferentes en reconocimiento de estas diferencias.
La
pretensión última de esta estrategia es generar, bajo un esquema de supervisión
integrada y coordinada, mejoras en el nivel de la gestión de la tecnología de
información y sus riesgos asociados, como herramienta para contribuir al
proceso de gestión de riesgos y de preparación ante los retos que impone un
ambiente financiero competitivo e innovador.
13.
Auditoría externa: La auditoría de los sistemas de tecnología de información es
una actividad altamente especializada para la cual existen certificaciones con
reconocimiento mundial; se considera conveniente, que la revisión del marco de
gestión de TI y cualquier otro criterio que las Superintendencias consideren
necesario en virtud del perfil de riesgo de las entidades supervisadas, sea
ejecutada por auditores externos con el fin de contribuir con la eficiencia en
el proceso de supervisión. Los resultados de esta auditoría pueden enriquecer
la supervisión en torno a los riesgos operacionales y de tecnología de la
información que realizan las Superintendencias y se constituye en un elemento
adicional dentro de la supervisión basada en riesgos.
14.
Registro de Auditores Elegibles: Actualmente se cuenta con un registro de
auditores con requisitos en torno a su capacidad e independencia, dicho
registro se concentra en auditores financieros, sin embargo;, con el propósito
de ir avanzando en la integración en un solo cuerpo reglamentario, que regule
los requerimientos de los distintos profesionales que convergen en procesos de
revisión y auditoria, se amplía el alcance de este registro para que incluya a
los auditores externos de tecnologías de la información.
15.
Comité de TI: El Reglamento de Gobierno Corporativo señala dentro de las
funciones del Órgano de Dirección, establecer los comités técnicos que
considere pertinentes para la buena gestión de la entidad, por lo que la creación del comité de TI estará en
función de las necesidades de las entidades supervisadas según su naturaleza,
complejidad, modelo de negocio, volumen de operaciones, criticidad de sus
procesos y su dependencia tecnológica.
16. Coordinación entre superintendencias: Para evitar costos
innecesarios a las entidades supervisadas resulta imprescindible coordinar los
procesos de supervisión de las diferentes superintendencias cuando una misma
unidad de TI presta servicios a entidades supervisadas por distintos órganos
supervisores.
17. El
inciso i) del artículo 171 de la Ley Reguladora del Mercado de Valores
establece como una de las funciones del Consejo Nacional de Supervisión del
Sistema Financiero reglamentar el intercambio de información que podrán
realizar entre sí las diferentes Superintendencias, para el estricto
cumplimiento de sus funciones de supervisión prudencial. La Superintendencia
que reciba información en virtud de este inciso, deberá mantener las
obligaciones de confidencialidad a que está sujeto el receptor inicial de dicha
información.
resolvió:
Aprobar
el Reglamento General de Gestión de la Tecnología de Información, de
conformidad con el siguiente texto:
REGLAMENTO
GENERAL DE GESTIÓN DE LA TECNOLOGÍA DE INFORMACIÓN
CAPÍTULO I
DISPOSICIONES GENERALES
Artículo
1. Objeto. Este Reglamento establece los requerimientos mínimos para la
gestión de la tecnología de información que deben acatar las entidades
supervisadas y reguladas del sistema financiero costarricense.
(Nota de Sinalevi: Mediante el artículo 116 del Reglamento sobre
Supervisión Consolidada (Acuerdo
CONASSIF 16-22), aprobado en sesión N° 1759-2022 del 26 de setiembre del 2022
se reformará este artículo. De conformidad con lo establecido en la indicada
norma la mima empieza a regir a partir del 1° de enero del 2023, por lo que a
partir de esa fecha el texto de dicho artículo será el siguiente: "Artículo 1. Objeto
Este
Reglamento establece los requerimientos mínimos para la gestión de la
tecnología de información que deben acatar las entidades y empresas
supervisadas y reguladas del sistema financiero costarricense.)