Norma Legal Oficial del día 18 de septiembre del año 2016 (18/09/2016)
Si dese vizualizar el documento entero como pdf click aqui.
TEXTO DE LA PÁGINA 10
599460
NORMAS LEGALES
Domingo 18 de setiembre de 2016 /
El Peruano
Que, el PROYECTO fue difundido en el Diario Oficial El Peruano y puesto en consulta ciudadana en el Portal del Mercado de Valores de la SMV por quince (15) días calendario, conforme lo dispuso la Resolución SMV Nº 0222016-SMV/01, publicada el 17 de agosto de 2016; y, Estando a lo dispuesto por el literal a) del artículo 1°, el literal b) del artículo 5 del Texto Único Concordado de la Ley Orgánica de la Superintendencia del Mercado de Valores SMV, aprobado por el Decreto Ley N° 26126 y sus modificatorias, el artículo 7 de la Ley del Mercado de Valores, Decreto Legislativo N° 861 y sus modificatorias, así como a lo acordado por el Directorio en su sesión del 14 de septiembre de 2016; SE RESUELVE: Artículo 1°.- Aprobar el Reglamento de Gestión del Riesgo Operacional, el mismo que consta de dieciocho (18) artículos, tres (3) disposiciones complementarias finales, dos (2) disposiciones complementarias transitorias y un (01) Anexo, los que a continuación se detallan: REGLAMENTO DE GESTIÓN DEL RIESGO OPERACIONAL TÍTULO I DISPOSICIONES GENERALES Artículo 1.- AMBITO DE APLICACIÓN Las disposiciones del presente Reglamento son aplicables a las Entidades a las que la Superintendencia de Mercado de Valores - SMV otorga autorización de funcionamiento. Artículo 2.- DEFINICIONES Para la aplicación del presente Reglamento se considerarán las siguientes definiciones: a) Confidencialidad: La información debe mantenerse en reserva, pudiendo ser accesible únicamente a aquellos usuarios que se encuentren debidamente autorizados, capacitados y supervisados. b) Disponibilidad: La información debe ser accesible a los usuarios autorizados cuando sea requerida. c) Incidente de seguridad de información: Evento asociado a una posible falla en la política de seguridad, una falla en los controles, o una situación previamente desconocida relevante para la seguridad, que tiene una probabilidad significativa de comprometer las operaciones del negocio y amenazar la seguridad de la información. d) Información: Cualquier forma de registro electrónico, óptico, magnético o en otros medios similares, susceptible de ser procesada, distribuida y almacenada. e) Integridad: La información debe ser completa, exacta y veraz. f) Periodo máximo tolerable de interrupción: Es el periodo, determinado por la Entidad, luego del cual la viabilidad de la Entidad sería afectada seriamente, si un producto o servicio en particular no es reanudado. g) Proveedor principal: Es aquel que, de interrumpir sus operaciones afectaría de manera importante la continuidad del negocio de la Entidad. Es, además, aquel con el que se tiene una subcontratación significativa, que incluye a los proveedores de servicios públicos como: telecomunicaciones, energía, entre otros. h) Reglamento: El Reglamento de Gestión del Riego Operacional. i) Reglamento de Gestión Integral de Riesgos: El Reglamento de Gestión Integral de Riesgos, aprobado por Resolución SMV N° 037-2015-SMV/01. j) Subcontratación significativa: Es aquella subcontratación que, en caso de falla o suspensión del servicio, puede poner en riesgo a la Entidad, al afectar sus ingresos, solvencia o continuidad del negocio de manera importante. k) Tiempo objetivo de recuperación: Es el tiempo establecido por la Entidad para reanudar un proceso, en caso de ocurrencia de un evento de interrupción de operaciones. Es menor al periodo máximo tolerable de interrupción.
Asimismo, serán de aplicación las definiciones contenidas en el Reglamento de Gestión Integral de Riesgos. En adelante, los términos antes mencionados podrán emplearse en forma singular o plural, sin que ello implique un cambio en su significado. Salvo mención en contrario, la referencia a artículos determinados debe entenderse efectuada a los correspondientes del presente Reglamento. Artículo 3.- FINALIDAD El presente Reglamento establece lineamientos, criterios y parámetros generales que la Entidad debe observar en el diseño, desarrollo y aplicación de su gestión del riesgo operacional, de acuerdo con el tamaño, volumen de transacciones y complejidad de las operaciones que realizan. Como parte de una adecuada gestión del riesgo operacional, las Entidades deben implementar un sistema de gestión de seguridad de la información y gestión de la continuidad del negocio. TÍTULO II GESTIÓN DEL RIESGO OPERACIONAL Artículo 4.- RIESGO OPERACIONAL El riesgo operacional es la posibilidad de ocurrencia de pérdidas originadas por procesos inadecuados, errores del personal, fallas tecnológicas o por eventos externos. El riesgo operacional incluye el riesgo legal. No constituye riesgo operacional el riesgo estratégico y el de reputación. Artículo 5.- FACTORES DE RIESGO OPERACIONAL La Entidad debe considerar los siguientes factores de riesgo operacional: a) Personal: La Entidad debe gestionar los riesgos asociados a su personal como: la inadecuada capacitación, negligencia, error humano, sabotaje, fraude, robo, paralizaciones, apropiación de información sensible, alta rotación, concentración de funciones, entre otros. b) Procesos internos: La Entidad debe gestionar apropiadamente los riesgos asociados a los procesos internos implementados para la realización de sus operaciones y servicios. Estos riesgos están relacionados con el diseño inapropiado de los procesos, políticas y procedimientos inadecuados o inexistentes que puedan tener como consecuencia del desarrollo deficiente de las operaciones y servicios o la suspensión de los mismos. c) Tecnología: La Entidad debe contar con la tecnología de información que garantice la captura, procesamiento, almacenamiento y transmisión de la información de manera oportuna y confiable; evitar interrupciones del negocio, errores en el diseño e implementación de los sistemas, problemas de calidad de la información y lograr que la información sea íntegra, confidencial y esté disponible para una apropiada toma de decisiones. d) Eventos externos: La Entidad debe gestionar los riesgos de pérdidas derivadas de la ocurrencia de eventos ajenos al control de la entidad que pueden alterar el desarrollo de sus actividades. Se deben tomar en consideración los riesgos que implican las contingencias legales, las fallas en los servicios públicos, la ocurrencia de desastres naturales, atentados y actos delictivos. Artículo 6.- EVENTOS DE PÉRDIDA POR RIESGO OPERACIONAL Las Entidades deben identificar los eventos de pérdida por riesgo operacional, pudiendo agruparlos de la siguiente manera: a) Fraude interno.- Pérdidas derivadas de algún tipo de actuación encaminada a defraudar, apropiarse de bienes indebidamente o incumplir regulaciones, leyes o políticas internas en las que se encuentran implicados empleados de la Entidad, y que tiene como fin obtener un beneficio ilícito. b) Fraude externo.- Pérdidas derivadas de algún tipo de actuación encaminada a defraudar, apropiarse de un activo indebidamente o incumplir la legislación, por parte de un tercero, con el fin de obtener un beneficio ilícito.