Norma Legal Oficial del día 18 de septiembre del año 2016 (18/09/2016)
Si dese vizualizar el documento entero como pdf click aqui.
TEXTO DE LA PÁGINA 11
El Peruano / Domingo 18 de setiembre de 2016
NORMAS LEGALES
599461
c) Relaciones laborales y seguridad en el puesto de trabajo.- Pérdidas derivadas de actuaciones incompatibles con la legislación o acuerdos laborales, sobre salud o seguridad en el trabajo, el pago de reclamos por daños personales, o casos relacionados con la diversidad o discriminación. d) Prácticas relacionadas con los clientes, los productos y el negocio.- Pérdidas derivadas del incumplimiento involuntario o negligente de una obligación frente a clientes o generadas por la deficiencia en el producto o servicio. e) Daños a activos físicos.- Pérdidas derivadas de daños o perjuicios a activos materiales como consecuencia de desastres naturales u otros acontecimientos. f) Interrupción del negocio por fallas en la tecnología de información.- Pérdidas derivadas de interrupciones en el negocio y de fallas en los sistemas. g) Deficiencia en la ejecución, entrega y gestión de procesos.- Pérdidas derivadas de errores en el procesamiento de operaciones o en la gestión de procesos, así como de relaciones con contrapartes, tales como proveedores, clientes, entre otros. En el Anexo se presentan algunos ejemplos de tipos de eventos de pérdida por riesgo operacional de acuerdo con la agrupación establecida en el presente artículo. Artículo 7.- METODOLOGÍA La metodología que elabore la Entidad para la gestión del riesgo operacional, la que comprende la gestión de la seguridad de la información y gestión de la continuidad del negocio, deberá considerar los elementos señalados en el artículo 5 del Reglamento de Gestión Integral de Riesgos. Asimismo, deberá cumplir con lo siguiente: a) La metodología debe ser aprobada por el Directorio u órgano equivalente, e implementada en toda la Entidad en forma consistente. b) La Entidad debe asignar recursos suficientes para aplicar su metodología en sus operaciones y en los procesos de control y de apoyo. c) La aplicación de la metodología debe estar integrada a los procesos de gestión de riesgos de la Entidad. d) La aplicación de la metodología de gestión del riesgo operacional debe estar adecuadamente documentada. e) Debe establecerse procedimientos que permitan asegurar el cumplimiento de su metodología de gestión del riesgo operacional. Artículo 8.- BASE DE DATOS DE EVENTOS DE PÉRDIDA La gestión del riesgo operacional constituye un proceso continuo y permanente, siendo necesario que la Entidad elabore bases de datos para cumplir, al menos, los siguientes criterios: a) Registrar los eventos de pérdida originados en toda la Entidad, para lo cual se diseñarán políticas, procedimientos de captura y entrenamiento al personal que interviene en el proceso. b) El monto mínimo de pérdida a partir del cual se registrará un evento en la base de datos será de S/ 3 000.00 (tres mil y 00/100 soles). No obstante, la Entidad podrá establecer un monto mínimo inferior al indicado en función del tamaño, volumen de transacciones y complejidad de sus operaciones. El Superintendente del Mercado de Valores podrá modificar el monto señalado en el párrafo anterior y/o establecer montos diferenciados. c) Registrar la siguiente información referida al evento y a las pérdidas asociadas: - Código de identificación del evento (asignado por la entidad, registro sistemático). - Tipo de evento de pérdida (según tipos de eventos señalados en el Anexo del presente Reglamento). - Operaciones - Descripción del evento. - Proceso o área a la que pertenece el evento. - Fecha de ocurrencia o de inicio del evento. - Fecha de descubrimiento del evento.
- Fecha de registro contable del evento. - Monto(s) bruto(s) de la(s) pérdida(s), moneda y tipo de cambio. - Monto(s) recuperado(s) mediante coberturas existentes de forma previa al evento, moneda y tipo de cambio y tipo de cobertura aplicada. - Monto total recuperado, moneda y tipo de cambio. - Cuenta(s) contable(s) asociadas, de ser el caso. En el caso de eventos con pérdidas múltiples, la Entidad puede registrar la información mínima requerida por cada pérdida, y establecer una forma de agrupar dicha información por el evento que las originó. La Entidad podrá registrar información parcial de un evento, en tanto se obtengan los demás datos requeridos. Por ejemplo, podrá registrarse primero el monto de la pérdida, para posteriormente añadir las recuperaciones asociadas. La Entidad establecerá criterios objetivos para asignar los eventos de pérdida a los tipos de eventos señalados en el Anexo, así como a las operaciones de la Entidad, los que deberá documentar. La Base de Datos de Eventos de Pérdida estará a disposición de la SMV, a su requerimiento para los fines de supervisión y control. TÍTULO III GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN Artículo 9.- SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN La Entidad debe implementar un sistema de gestión de la seguridad de la información, orientado a garantizar como mínimo la integridad, confidencialidad y disponibilidad de la información mediante la adecuada combinación de políticas, procedimientos, controles, estructura organizacional y herramientas informáticas especializadas. Para ello, deberá como mínimo realizar las siguientes actividades: a) Definición de una política de seguridad de información aprobada por el Directorio u órgano equivalente. b) Definición e implementación de una metodología de gestión de seguridad de la información, conforme a lo establecido en el artículo 7 del Reglamento, y que guarde consistencia con la gestión integral de riesgos de la Entidad. c) Mantenimiento de registros adecuados que permitan verificar el cumplimiento de las normas, estándares, políticas, procedimientos y otros definidos por la Entidad, para la correcta gestión de la seguridad de la información, así como mantener una suficiente evidencia de auditoría. Artículo 10.- FUNCIÓN DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN La Entidad debe contar con una estructura organizacional que le permita implementar y mantener el sistema de gestión de la seguridad de información, para lo cual deberá: a) Asegurar el cumplimiento de la política, los procedimientos y la metodología de seguridad de información elaborada por la Entidad, incluyendo además la asignación de roles y responsabilidades; b) Coordinar y monitorear la implementación de los controles de seguridad de información; c) Desarrollar actividades de concientización y entrenamiento en seguridad de información, así como la operatividad para informar sobre incidentes; d) Evaluar de forma continua los eventos asociados a una posible falla en la política de seguridad, en los controles o una situación previamente desconocida relevante para la seguridad y recomendar acciones apropiadas; e) Desarrollar planes de comunicación para determinar responsabilidades en la toma de decisiones, así como las políticas y procedimientos para divulgar potenciales vulnerabilidades; f) Dirigir y promover que el personal contribuya con la efectividad del sistema de gestión de seguridad de la información; y,