Norma Legal Oficial del día 18 de septiembre del año 2016 (18/09/2016)
Si dese vizualizar el documento entero como pdf click aqui.
TEXTO DE LA PÁGINA 13
El Peruano / Domingo 18 de setiembre de 2016
NORMAS LEGALES
599463
TITULO IV GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO Artículo 13.- SISTEMA DE GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO La Entidad debe implementar un sistema de gestión de la continuidad del negocio mediante el conjunto detallado de acciones que describan los procedimientos, los sistemas y los recursos necesarios para retornar y continuar las operaciones en caso de interrupción. Tendrá como objetivo principal brindar respuestas efectivas para que la operatividad del negocio continúe de una manera razonable, ante la ocurrencia de eventos que puedan crear una interrupción o inestabilidad en sus operaciones. Para ello deberá como mínimo realizar las siguientes actividades: a) Definición de una política de continuidad del negocio aprobada por el Directorio u órgano equivalente. b) Definición e implementación de una metodología de gestión de continuidad del negocio, conforme a lo establecido en el artículo 7 del Reglamento, y que guarde consistencia con la gestión integral de riesgos de la Entidad. c) Mantenimiento de registros adecuados que permitan verificar el cumplimiento de las normas, estándares, políticas, procedimientos y otros definidos por la Entidad para la correcta gestión de la continuidad del negocio, así como mantener una suficiente evidencia de auditoría. Artículo 14.- FUNCIÓN DE CONTINUIDAD DEL NEGOCIO La Entidad deberá contar con una estructura organizacional que le permita cumplir adecuadamente la función de continuidad del negocio, la cual tendrá a su cargo las siguientes responsabilidades: a) Proponer las políticas, procedimientos y metodología apropiados para la gestión de la continuidad del negocio en la Entidad, incluyendo la asignación de roles y responsabilidades; b) Desarrollar actividades de concientización y entrenamiento de continuidad del negocio, así como la operatividad para informar sobre incidentes; c) Evaluar los incidentes de continuidad del negocio de forma continua y recomendar acciones apropiadas; d) Desarrollar planes de comunicación para determinar responsabilidades en la toma de decisiones, así como las políticas y procedimientos para divulgar potenciales vulnerabilidades; y, e) Reportar al Directorio u órgano equivalente o al Comité de Riesgos, según su organización, sobre el desempeño del sistema de gestión de la continuidad del negocio para una oportuna toma de decisiones con la periodicidad que determine la Entidad, la que no podrá ser mayor a un año. La Entidad deberá realizar la función de gestión de continuidad del negocio de acuerdo con el tamaño, volumen de transacciones y complejidad de las operaciones que realice. Artículo 15.- FASES DE LA GESTIÓN DE CONTINUIDAD DEL NEGOCIO La Entidad deberá desarrollar, de acuerdo con su tamaño, volumen de transacciones y complejidad de sus operaciones, las siguientes fases como parte de la gestión de la continuidad del negocio: 1. Entendimiento de la organización y el contexto La Entidad debe conocer y documentar sus objetivos y metas; identificar los principales procesos, productos, servicios, proveedores y todas las partes interesadas, así como las actividades, recursos requeridos y los requerimientos legales y/o regulatorios que son de su aplicación. Asimismo, debe conocer las relaciones entre las políticas de continuidad del negocio y los objetivos de la organización y otras políticas incluyendo la estrategia de gestión integral de riesgos y el apetito por riesgo de la organización.
La Entidad debe conocer, además, los factores internos y externos que crean incertidumbre y evaluar los riesgos que podrían causar la interrupción de dichas actividades, así como el impacto que podría tener dicha interrupción. Las actividades mínimas a desarrollar durante esta fase son las siguientes: a) Análisis de impacto: Es el proceso formal de evaluación del impacto (financiero, jurídico y regulatorio) que tendría una interrupción de los procesos que soportan las principales operaciones de la Entidad y determinar las prioridades de continuidad y objetivos de recuperación. Para ello, deben considerarse aspectos como: la identificación de actividades que soportan la provisión de servicios, daños a la viabilidad financiera de la empresa, incumplimiento de requerimientos regulatorios, daños al personal o al público en general. De acuerdo con ello debe establecerse el período máximo tolerable de interrupción, así como los objetivos de recuperación por cada uno de estos procesos. Debe incluir, además, la identificación y evaluación de los riesgos relacionados con los procesos operativos y servicios de procesamiento y transmisión de datos contratados con proveedores de procesos identificados como críticos. El análisis de impacto debe ser revisado periódicamente y actualizado cuando existan cambios en la organización o en su entorno, que puedan afectar sus resultados. b) Evaluación de riesgos: Es el proceso mediante el cual sistemáticamente se identifica, analiza y evalúan los riesgos que podrían causar una interrupción del negocio. Para ello, deberá aplicarse la metodología aprobada que debe ser consistente con aquella que se utilice para la evaluación de los demás riesgos que enfrenta la Entidad. Además, debe definir y priorizar las actividades y procesos, sistemas, información, personal, activos, proveedores y otros recursos que soporten sus actividades y que requieren contar con una estrategia de continuidad de negocios, considerando los resultados del análisis de impacto y de la evaluación de riesgos. Asimismo, debe identificar los tratamientos correspondientes para los objetivos de continuidad del negocio de acuerdo con el apetito al riesgo de la organización, conservando la información documentada de los resultados del proceso de evaluación de la continuidad del negocio. c) Requerimientos legales y regulatorios: La organización debe implementar y mantener un procedimiento para identificar, tener acceso y evaluar los requerimientos legales y regulatorios que le sean aplicables relativos a la continuidad de sus operaciones, así como las partes involucradas y asegurarse que estos requerimientos sean tomados en cuenta en la gestión de la continuidad del negocio. 2. Planificación a) Acciones para abordar los riesgos y oportunidades En esta etapa, deberán considerar lo abarcado en el numeral anterior y el entendimiento de las necesidades y expectativas de las partes interesadas para así determinar los riesgos y oportunidades que necesitan ser cubiertos. Para ello, la Entidad debe planificar las acciones que tomará para abordar sus riesgos y oportunidades, así como la manera en cómo se integrarán e implementarán las acciones en los procesos de gestión de la continuidad del negocio y la evaluación de la eficacia de estas acciones. b) Objetivos de continuidad del negocio y planes para lograrlos La Entidad debe asegurarse que los objetivos de la continuidad del negocio, se cumplan, sean medibles y consistentes con sus políticas, así como con las exigencias legales y regulatorias aplicables y los resultados de la evaluación de riesgos y su tratamiento.