modificaciones ran 20-7

2014 KPMG Auditores Consultores Ltda., sociedad de responsabilidad limitada chilena y una firma miembro de la red de firmas miembro independientes de KPMG afiliadas a KPMG International Cooperative

(KPMG International), una entidad suiza. Todos los derechos reservados. KPMG y el logotipo de KPMG son marcas registradas de KPMG Internacional, una cooperativa suiza. 1

Modificaciones RAN 20-7 de la

Superintendencia de Bancos

e Instituciones Financieras

(SBIF)

Marzo 2014

Javier Hetzel Olgun

Consultor Business Resilience

IT Advisory



Agenda

Cambios Significativos III

II mbito de aplicacin

Incumplimiento normativa IV

Comentarios V

I Introduccin



I. Introduccin

Qu es la SBIF?

La SBIF es la Superintendencia encargada de

regular a los Bancos e Instituciones Financieros,

velar por la estabilidad y buen funcionamiento del

sistema financiero. Es una entidad autnoma y se

relaciona con el gobierno a travs del Ministerio de

Hacienda.

Qu significa RAN 20-7?

Se refiere al captulo 20-7 de la Recopilacin

Actualizada de Normas, que trata sobre la

externalizacin de servicios

Cundo entr en vigencia?

La RAN 20-7 entr en vigencia en el ao 2008 y la

actualizacin entrar en vigencia gradualmente a

contar del ao 2016.



Implicancia para IPBR

En qu influye para el rea de IPBR?

La RAN 20-7 exige, tanto a los proveedores

como a los contratantes, Planes de

Continuidad del Negocio y un Programa de

Seguridad de la Informacin.



Agenda




Comentarios V

I Introduccin



II. mbito de aplicacin

La RAN 20-7 regula las contrataciones por

parte de las instituciones bancarias de

proveedores de servicios externos para que

realicen una o ms actividades, funciones o

procesos operativos, que podran ser tambin

efectuados internamente por la entidad, con

sus propios recursos, tanto humanos como

tecnolgicos.

Tambin es aplicable a sociedades filiales y

sociedades de apoyo al giro.



Agenda




Comentarios V

I Introduccin



III. Cambios significativos

Fortalecimiento de los aspectos de gestin de riesgos, especialmente, en lo que se refiere al

involucramiento del Directorio.

La estructura de gobierno que debe mantener la entidad con las empresas prestadoras del servicio.

Mejorar y complementar polticas y procedimientos en esta materia.

Reforzar y complementar aspectos relacionados con la Seguridad de la Informacin y la Continuidad

del Negocio.

Monitoreo permanente que deben realizar las Instituciones para gestionar los servicios

externalizados.

Mayor regulacin en los servicios externalizados en el extranjero.



Fortalecimiento de los aspectos de gestin de riesgos

Ahora:

Necesidad de aprobacin de parte de la SBIF para:

Poltica.

Riesgo Pas.

Servicios de procesamientos de datos.

Servicios realizados en el extranjero.

Actualizacin:

Mayor responsabilidad del Directorio debido a la

eliminacin del requisito de autorizacin.

Creacin de anlisis de aspectos relacionados con

los riesgos legales a la que se expone la

informacin.



Estructura de gobierno

Ahora:

No existe informacin.

Actualizacin:

Estructura de gobierno definida entre el

banco y el proveedor, identificando

claramente su nivel estratgico, tctico y

operacional, tanto en la etapa de desarrollo

del proyecto como de relacionamiento en

rgimen.



Polticas y procedimientos.

Ahora:

No indica detalle.

Actualizacin:

Ttulo 2. Poltica de contratacin y gestin de actividades asociadas al procesamiento externo indica lo mnimo que debera poseer la poltica

de externalizacin de servicios, tales como:

Procedimiento gestin de externalizacin.

Herramientas de evaluacin de riesgos.

Criterios para definir la tolerancia al riesgo y particulares de contratacin.

Servicios que solo se podrn externalizar previa autorizacin del Directorio.

Entre otros.



Continuidad de Negocio

Ahora:

La institucin bancaria debe verificar que sus

proveedores de servicios crticos cuenten con

planes apropiados que aseguren la continuidad

de los procesamientos contratados.

Actualizacin:

La institucin bancaria debe verificar que sus

proveedores de servicios crticos cuenten con

planes apropiados que aseguren la continuidad

de los servicios contratados.



Continuidad de Negocio

Ahora:

Los planes deben ser probados

peridicamente al igual que sus sitios de

contingencia.

Actualizacin:

Los planes deben ser probados al menos

una vez al ao incluyendo, cuando

corresponda, el escenario de desastre de

sus distintos sitios de procesamiento.



Seguridad de la Informacin

Ahora:

El banco debe cerciorarse que el proveedor de

servicio pueda mantener la confidencialidad,

integridad y disponibilidad de los activos de

informacin...

Actualizacin:

El banco debe cerciorarse que el proveedor de

servicio mantiene un programa de seguridad de

la informacin que le permita asegurar la

confidencialidad, integridad, trazabilidad y

disponibilidad de los activos de informacin

Se deben establecer los procedimientos que

aseguren el adecuado traspaso de informacin

al banco por parte del proveedor, y que ste en

ningn caso mantenga informacin en su poder

despus de finalizada la relacin contractual.



Monitoreo permanente de los servicios externalizados.

Ahora:

Control permanente del proveedor y del servicio.

Actualizacin:

Adems de lo que est presente actualmente en

la RAN, se debe evaluar y probar, al menos

anualmente, la existencia y suficiencia de los

procedimientos de traspaso a produccin y

escalamiento de incidentes; as como definir y

controlar los hitos relevantes de cada uno de

estos servicios.



Servicios externalizados en el extranjero.

Ahora:

No existe informacin.

Actualizacin:

Los tiempos de recuperacin debern ser

evaluados por la entidad, al menos una vez

al ao, tanto para los procesos

transaccionales como Batch.



Servicios externalizados en el extranjero.

Ahora:

El banco debe estar en condiciones de efectuar

desde Chile el control y monitoreo del Centro de

Procesamiento de Datos en el Exterior.

Actualizacin:

El banco debe efectuar desde Chile el control y

monitoreo del servicio externalizado en el

Centro de Procesamiento de Datos en el

Exterior, especialmente, en los aspectos

relacionados con la seguridad de la

informacin, continuidad del negocio y

condiciones de operacin del centro de

procesamiento. Lo anterior, independiente de

las actividades propias de control y monitoreo

que realice el proveedor del servicio.



Agenda




Comentarios V

I Introduccin



IV. Incumplimiento normativa

En el caso de incumplimientos a esta

normativa, en especial por aquellos bancos

que hayan externalizado en el exterior

actividades significativas o estratgicas o que

les exponga a riesgos operacionales

relevantes, este organismo podr requerir que

los servicios se realicen en el pas, o sean

ejecutados internamente por la entidad, segn

corresponda. En consideracin a lo anterior, el

banco deber mantener permanentemente

actualizado un plan que posibilite cumplir con

esos eventuales requerimientos.



Agenda




Comentarios V

I Introduccin



Consultas:

Javier Hetzel Olgun

Consultor Business Resilience

Information Technology Advisory

KPMG Auditores Consultores Ltda.

+ 56 (2) 2798 1382

[email protected]

www.kpmg.cl

V. Comentarios



Modificaciones RAN 20-7 de la

Superintendencia de Bancos e

Instituciones Financieras (SBIF)

modificaciones ran 20-7

Documents