TEXTO PAGINA: 45
45 NORMAS LEGALES Martes 23 de febrero de 2021 El Peruano / continuidad del negocio y de seguridad de la información y Ciberseguridad; (...)” “VI. ADMINISTRADORAS PRIVADAS DE FONDOS DE PENSIONES (AFP): 1) Evaluación de la gestión del riesgo operacional y de las disposiciones de la normativa vigente sobre gestión de continuidad del negocio y de seguridad de la información; (...)” Artículo Tercero.- Modi fi car el literal b) del segundo párrafo del artículo 20° Informe sobre el sistema de control interno del Reglamento de Auditoría Externa, aprobado por Resolución SBS N° 17026-2010 y sus modi fi catorias, de acuerdo a lo siguiente al siguiente texto: “Artículo 20°.- Informe sobre el sistema de control interno (…)b) Evaluación de los sistemas de información de la empresa en el ámbito de la auditoría externa, que incluye, entre otros, el fl ujo de información en los niveles internos de la empresa para su adecuada gestión, y la revisión selectiva de la validez de los datos contenidos en la información complementaria a los estados fi nancieros (anexos y reportes) que presentan las empresas a esta Superintendencia, según las normas vigentes sobre la materia; donde deben precisarse los sistemas que fueron parte del alcance de dicha evaluación; y, (…)” Artículo Cuarto.- Modi fi car el procedimiento N° 123 relativo a la “Autorización del Procesamiento Principal en el Exterior” por “Autorización para la contratación del servicio signi fi cativo de Procesamiento de Datos provisto por terceros desde el Exterior” e incorporar el procedimiento N°198 relativo a “Autorización para aplicar el Régimen Simpli fi cado del Sistema de Gestión de la Seguridad de la Información y la Ciberseguridad” en el Texto Único de Procedimientos Administrativos de la Superintendencia de Banca, Seguros y Administradoras Privadas de Fondos de Pensiones, aprobado mediante Resolución Nº 1678-2018, cuyo texto se anexa a la presente la presente resolución y se publica en el Portal Web institucional (www.sbs.gob.pe). Artículo Quinto.- Modi fi car el Reglamento de Gobierno Corporativo y de la Gestión Integral de Riesgos, aprobado mediante Resolución SBS N° 272-2017 y sus modi fi catorias, de acuerdo a lo siguiente: 1. Incorporar en el Artículo 2 del Reglamento de Gobierno Corporativo y de la Gestión Integral de Riesgos, aprobado mediante Resolución SBS N° 272-2017 el siguiente texto: “rr) Proveedor: tercero contratado para brindar bienes y/o servicios a una empresa, incluso bajo la modalidad de subcontratación. Las empresas que forman parte del mismo grupo económico que la empresa contratante también son consideradas como terceros.” d) Modi fi car en el Artículo 2 De fi niciones y/o referencias, el literal jj) Subcontratación, de acuerdo a lo siguiente: “jj) Subcontratación: Modalidad mediante la cual una empresa contrata a un proveedor para que este entregue bienes y/o servicios que podrían ser desarrollados por ella.” 3. Sustituir el Capítulo IV, así como su referencia en el Índice de dicho Reglamento por “Bienes y/o Servicios Provistos por Terceros”, con el siguiente texto: “CAPÍTULO IVBIENES Y/O SERVICIOS PROVISTOS POR TERCEROS Artículo 35.- Aspectos generales 35.1. Los bienes y/o servicios provistos por terceros son aquellos entregados a la empresa por parte de un proveedor. 35.2. En caso se trate de un bien y/o servicio que pudiera ser desarrollado por la empresa pero decide solicitarlo a través de un tercero, se con fi gura la modalidad de subcontratación. 35.3. Los bienes y/o servicios signi fi cativos provistos por terceros son aquellos que, en caso de falla o suspensión, pueden poner en riesgo importante a la empresa al afectar sus ingresos, solvencia, continuidad operativa o reputación. En caso de que algún bien y/o servicio signi fi cativo sea provisto por un tercero bajo la modalidad de subcontratación, la subcontratación se considera signi fi cativa. 35.4. Un proveedor es considerado signi fi cativo cuando provee servicios signi fi cativos, se encuentre o no, bajo la modalidad de subcontratación. Artículo 36.- Bienes y/o servicios provistos por terceros 36.1 Los riesgos asociados a la entrega de bien y/o servicios provistos por terceros deben ser gestionados como parte del marco de gestión integral de riesgos de la empresa. 36.2 La empresa es responsable de los resultados de los bienes y/o servicios provistos por terceros bajo la modalidad de subcontratación. 36.3 La empresa debe realizar una evaluación de los riesgos asociados a los servicios signi fi cativos provistos por terceros, ya sea que se encuentren o no bajo la modalidad de subcontratación. Dicha evaluación debe ser presentada al directorio para su aprobación. 36.4 En el caso de subcontratación signi fi cativa se debe contar con cláusulas que faciliten una adecuada revisión de la respectiva prestación por parte de las empresas, de la unidad de auditoría interna, de la sociedad de auditoría externa, así como por parte de la Superintendencia o las personas que esta designe, en los contratos suscritos con los proveedores. 36.5 La subcontratación de las funciones de la gestión de riesgos es considerada como signi fi cativa para fi nes de este Reglamento. 36.6 Esta Superintendencia puede de fi nir requisitos adicionales para algunos bienes y/o servicios especí fi cos provistos por terceros. Artículo 37°.- Autorización para la contratación de bienes y/o servicios signi fi cativos provistos por terceros La contratación de los siguientes bienes y/o servicios signi fi cativos requiere autorización previa de esta Superintendencia y debe sujetarse a lo establecido en las normas reglamentarias especí fi cas: a) La subcontratación signi fi cativa de auditoría interna, de acuerdo con lo establecido en el Reglamento de Auditoría Interna o norma que lo sustituya; b) Otros que indique la Superintendencia mediante norma general.” Artículo Sexto.- Modi fi car el Reglamento de Riesgo Operacional, aprobado por Resolución SBS Nº 2116-2009, según se indica a continuación: 1. Sustituir el literal i del artículo 2 y el artículo 14, de acuerdo con el siguiente texto: “Artículo 2.- De fi niciones (…) i. Subcontratación: Modalidad mediante la cual una empresa contrata a un proveedor para que este entregue bienes y/o servicios que podrían ser desarrollados por ella. (…) 2. Sustituir el artículo 14 de acuerdo con el siguiente texto: “Artículo 14.- Bienes y/o servicios provistos por terceros La empresa debe contar con políticas y procedimientos apropiados para gestionar los riesgos asociados a los