/ CMF pone en consulta propuesta de norma de gestión de riesgo operacional
11 de Septiembre, 2023Con fecha 8 de agosto de 2023 la Comisión para el Mercado Financiero (“CMF”) puso en consulta una Norma de Carácter General (“NCG”) que tiene por finalidad actualizar el marco de Gestión de Riesgo Operacional de Sociedades Administradoras de Sistemas de Compensación y Liquidación, Empresas de Depósito y Custodia de Valores, Bolsas de Valores, Bolsas de Productos, Intermediarios de Valores, Corredores de Bolsas de Productos y Administradoras Generales de Fondos, recogiendo aquellas estipulaciones de la Ley 21.521 (“Ley FINTEC”) con la finalidad de entregar instrucciones respecto de la gestión de riesgo operacional de dichas entidades. Así, la propuesta de NCG, considera principalmente lo siguiente:
- Entiende que el riesgo operacional corresponde al riesgo que las deficiencias que puedan producirse en los sistemas de información, los procesos internos o el personal, o las perturbaciones ocasionadas por acontecimientos externos provoquen la reducción, el deterioro o la interrupción de los servicios que presta la entidad y eventualmente le originen pérdidas financieras. Incluye el riesgo de pérdidas ante cambios regulatorios que afecten las operaciones de la entidad, como también pérdidas derivadas de incumplimiento o falta de apego a la regulación vigente. Considerando lo anterior, la propuesta de NCG busca que la entidad respectiva tenga la capacidad de seguir entregando sus servicios en caso que se presente un evento disruptivo, para lo cual deberá gestionar el riesgo operacional mediante una adecuada combinación de políticas, procedimientos, controles, estructura organizacional y sistemas de información, conforme a la naturaleza, volumen y complejidad de las actividades que realiza.
- Las políticas y procedimientos de gestión de riesgo operacional deberán estar formalmente establecidas y documentadas.
- Los planes de trabajo y la emisión de informes de gestión de riesgo operacional al directorio, u órgano equivalente, deberán formar parte de la gestión de riesgo integral, de acuerdo con la normativa de gobierno corporativo y gestión de riesgos de la entidad.
- Las políticas y procedimientos de gestión de riesgo operacional, regularán, a lo menos, los siguientes ámbitos: (i) seguridad de la información y ciberseguridad, (ii) continuidad de negocio; y (iii) externalización de servicios. Los ámbitos mencionados deberán ser considerados por la entidad en los informes que realicen las instancias encargadas de la gestión de riesgos y la auditoría interna, según corresponda.
- En lo que respecta a seguridad de la información y ciberseguridad, la gestión de riesgo operacional, debe contemplar a lo menos lo siguiente: (i) políticas que resguarden la disponibilidad, confidencialidad e integridad de los activos de información; definan niveles de apetito por riesgo en materia de seguridad de la información y ciberseguridad; determinen las principales funciones y responsabilidades; definan procedimientos para la evaluación de los riesgos de seguridad de la información y ciberseguridad; (ii) políticas sobre tecnologías de información y comunicación (TIC); (iii) definición del perfil y número necesario de personas con conocimientos comprobables en estándares de seguridad de la información y ciberseguridad; (iv) establecimiento de procedimientos para que el personal de la entidad, incluyendo el directorio u órgano equivalente, contribuya a una adecuada gestión de los riesgos de la seguridad de la información y ciberseguridad; (v) generación de acuerdos contractuales para la revocación de derechos de acceso a información y devolución de activos de información como parte del proceso de cambio de posición o desvinculación de un empleado; (vi) la auditoría de los procesos de gestión de la seguridad de la información y ciberseguridad; (vii) procedimientos que le permitan al directorio u órgano equivalente mantenerse informado en forma oportuna y periódica sobre el sistema de gestión de la seguridad de la información y ciberseguridad; y la (ix) detección y protección de ataques cibernéticos; procedimientos de gestión de intereses; entre otros.
La política de seguridad de la información y ciberseguridad formará parte de las políticas de gestión de riesgos de la entidad, debiendo ser actualizada y aprobada al menos anualmente por el directorio, u órgano equivalente, o con una periodicidad mayor en caso de cambios significativos.
- En el ámbito de la continuidad de negocios, la gestión de riesgos operacional, debe incluir, a lo menos, los siguiente: (i) políticas que contemplen procedimientos de respuesta ante la ocurrencia de eventos internos o externos que pudieran crear una interrupción en la continuidad de las operaciones del negocio y una capacitación y concientización para garantizar que el personal de la entidad esté debidamente preparado para enfrentar los escenarios de contingencia definidos y que comprendan sus responsabilidades en la gestión de los riesgos del sistema de continuidad de negocio; y establezcan las principales funciones y responsabilidades sobre la materia; (ii) contar con personas con conocimientos comprobables en estándares de continuidad de negocio y experiencia en la gestión de los riesgos asociados; (iii) procedimientos que permitan al Directorio informarse de manera oportuna y periódica debiendo dejarse constancia del reporte de la información en estas materias en las respectivas actas del directorio u órgano equivalente y en los comités que se conformen para revisar estas materias; procedimientos consistentes en que la entidad: disponga de un sitio secundario que permita a la entidad reanudar la operación en caso de que esta se vea interrumpida en el sitio principal, permitiendo restablecer los procesos de mayor relevancia del negocio; realizar o actualizar, al menos anualmente, ante eventos que amenacen la continuidad de las operaciones del negocio, un BIA con el objeto de identificar los procesos de mayor relevancia para la continuidad de negocio, el impacto que tendría una interrupción de esos procesos, y los tiempos y recursos necesarios para la continuidad y recuperación de estos; realizar o actualizar, al menos anualmente, una evaluación de impacto de riesgos (RIA); mantener la continuidad de los procesos de mayor relevancia, considerando medidas preventivas para reducir la probabilidad de materialización de daños, minimizar el tiempo de recuperación y limitar el impacto en las operaciones del negocio de la entidad; implementar un plan de crisis en el que se determine los procedimientos de escalamiento, comunicaciones, gestión y reporte de eventos de continuidad operacional para mantener informado en forma oportuna al directorio u órgano equivalente; contar con un plan de continuidad de negocio y recuperación de desastres, aprobado anualmente por el directorio u órgano equivalente; contar con un plan de mejoramiento continuo de las políticas, planes y procedimientos de continuidad del negocio.
Se deberán emitir reportes de los resultados de las pruebas realizadas al directorio u órgano equivalente, que contengan recomendaciones y acciones para implementar mejoras al plan de continuidad de negocio y recuperación ante desastres.
- Con relación a la externalización de servicios, la política de gestión de riesgo operacional, deberá considerar: (i) el riesgo de sustitución: la posibilidad de sustituir o no a un proveedor dentro de un plazo determinado que garantice la continuidad del servicio contratado; (ii) el riesgo de intervención: la posibilidad que la entidad tenga que hacerse cargo de la función contratada; (iii) el riesgo de subcontratación: la posibilidad que el proveedor subcontrate a su vez todo o parte del servicio, reduciendo la capacidad de la entidad de supervisar la función subcontratada; y (iv) el riesgo de concentración: la posibilidad que una entidad contrate uno o varios servicios en un mismo proveedor que sea difícil de sustituir, incrementando la posibilidad de fallas o interrupciones prolongadas. En los procedimientos de gestión de riesgo operacional que se refiera a esta materia, a lo menos, se deben establecer: (i) procedimientos para determinar los servicios críticos; (ii) procedimientos para la selección, contratación y monitoreo de proveedores; (iii) contemplar en los contratos con los proveedores de servicios externalizados ciertos contenidos mínimos; (iv) contar con un registro de servicios externalizados para gestionar los riesgos de subcontratación; (v) monitorear periódicamente que los proveedores cumplan con las condiciones pactadas para garantizar la calidad de la provisión del servicio; (v) verificar que el proveedor de los servicios contratados posea adecuados conocimientos y experiencia; (vii) mantener personal con el debido conocimiento para efectuar el control de la prestación de servicios efectuada por sus proveedores.
El directorio u órgano equivalente deberá mantenerse informado sobre las materias referidas a la externalización de servicios, para lo cual deberá disponer de procedimientos que le permitan informarse de manera oportuna y periódica; entre otros. Deberá dejarse constancia del reporte de la información en estas materias en las respectivas actas del directorio u órgano equivalente y en los comités que se conformen para revisar estas materias.
- El directorio, u órgano equivalente, debe velar porque las políticas, procesos y sistemas dentro de la organización sean consistentes con el apetito por riesgo definido y contengan líneas claras de responsabilidad sobre la gestión de riesgo operacional. Asimismo, deberá dotar a las instancias pertinentes de la entidad con los recursos y personal necesario para la gestión de riesgo operacional, en función del volumen y complejidad de las operaciones de la entidad.
- Las entidades deberán comunicar a esta Comisión los incidentes operacionales que afecten o pongan en riesgo la continuidad del negocio, los recursos e información de la entidad o de sus clientes y la calidad de los servicios.
Se derogan las Circulares Nº 1.939 y Nº 2020 (dirigidas a entidades de depósito y custodia de valores y sociedades administradoras de sistemas de compensación y liquidación de instrumentos financieros) y la Norma de Carácter General Nº 256 (dirigida a participantes de sistemas de compensación y liquidación de instrumentos financieros), y se modifica la Norma de Carácter General Nº 480 que regula la interconexión de Bolsas de Valores.
Para más información puede contactar a Felipe Cousiño Prieto (socio) y a Francisca Donoso Fernández (asociada).