Modificaciones RAN 20-7

Modificaciones RAN 20-7 de la
Superintendencia de Bancos
e Instituciones Financieras
(SBIF)
Marzo 2014
Javier Hetzel Olgun
Consultor Business Resilience
IT Advisory
2014 KPMG Auditores Consultores Ltda., sociedad de responsabilidad limitada chilena y una firma miembro de la red de firmas miembro independientes de KPMG afiliadas a KPMG International Cooperative
(KPMG International), una entidad suiza. Todos los derechos reservados. KPMG y el logotipo de KPMG son marcas registradas de KPMG Internacional, una cooperativa suiza.
Agenda
I
Introduccin
II
mbito de aplicacin
III
Cambios Significativos
IV
Incumplimiento normativa
Comentarios
I. Introduccin
Qu es la SBIF?
La SBIF es la Superintendencia encargada de
regular a los Bancos e Instituciones Financieros,
velar por la estabilidad y buen funcionamiento del
sistema financiero. Es una entidad autnoma y se
relaciona con el gobierno a travs del Ministerio de
Hacienda.
Qu significa RAN 20-7?
Se refiere al captulo 20-7 de la Recopilacin
Actualizada de Normas, que trata sobre la
externalizacin de servicios
Cundo entr en vigencia?

La RAN 20-7 entr en vigencia en el ao 2008 y la
actualizacin entrar en vigencia gradualmente a
contar del ao 2016.
Implicancia para IPBR
En qu influye para el rea de IPBR?

La RAN 20-7 exige, tanto a los proveedores
como a los contratantes, Planes de
Continuidad del Negocio y un Programa de
Seguridad de la Informacin.
Agenda
I
Introduccin
II
mbito de aplicacin
III
IV
Comentarios
II. mbito de aplicacin

La RAN 20-7 regula las contrataciones por
parte de las instituciones bancarias de
proveedores de servicios externos para que
realicen una o ms actividades, funciones o
procesos operativos, que podran ser tambin
efectuados internamente por la entidad, con
sus propios recursos, tanto humanos como
tecnolgicos.
Tambin es aplicable a sociedades filiales y
sociedades de apoyo al giro.
Agenda
I
Introduccin
II
mbito de aplicacin
III
IV
Comentarios
III. Cambios significativos

Fortalecimiento de los aspectos de gestin de
riesgos, especialmente, en lo que se refiere al
involucramiento del Directorio.
La estructura de gobierno que debe mantener la
entidad con las empresas prestadoras del servicio.
Mejorar y complementar polticas y procedimientos
en esta materia.
Reforzar y complementar aspectos relacionados
con la Seguridad de la Informacin y la Continuidad
del Negocio.
Monitoreo permanente que deben realizar las
Instituciones
para
gestionar
los
servicios
externalizados.
Mayor regulacin en los servicios externalizados en
el extranjero.
Fortalecimiento de los aspectos de gestin de riesgos

Ahora:
Necesidad de aprobacin de parte de la SBIF para:
Poltica.
Riesgo Pas.
Servicios de procesamientos de datos.

Servicios realizados en el extranjero.
Actualizacin:
Mayor responsabilidad del Directorio debido a la
eliminacin del requisito de autorizacin.
Creacin de anlisis de aspectos relacionados con
los riesgos legales a la que se expone la
informacin.
Estructura de gobierno
Ahora:
No existe informacin.
Actualizacin:
Estructura de gobierno definida entre el
banco y el proveedor, identificando
claramente su nivel estratgico, tctico y
operacional, tanto en la etapa de desarrollo
del proyecto como de relacionamiento en
rgimen.
10
Polticas y procedimientos.
Ahora:
No indica detalle.
Actualizacin:
Ttulo 2. Poltica de contratacin y gestin de
actividades asociadas al procesamiento externo
indica lo mnimo que debera poseer la poltica
de externalizacin de servicios, tales como:
Procedimiento gestin de externalizacin.
Herramientas de evaluacin de riesgos.
Criterios para definir la tolerancia al riesgo y
particulares de contratacin.
Servicios que solo se podrn externalizar
previa autorizacin del Directorio.
Entre otros.
11
Continuidad de Negocio
Ahora:
La institucin bancaria debe verificar que sus
proveedores de servicios crticos cuenten con
planes apropiados que aseguren la continuidad
de los procesamientos contratados.
Actualizacin:
La institucin bancaria debe verificar que sus
proveedores de servicios crticos cuenten con
planes apropiados que aseguren la continuidad
de los servicios contratados.
12
Continuidad de Negocio
Ahora:
Los
planes
deben
ser
probados
peridicamente al igual que sus sitios de
contingencia.
Actualizacin:
Los planes deben ser probados al menos
una vez al ao incluyendo, cuando
corresponda, el escenario de desastre de
sus distintos sitios de procesamiento.
13
Seguridad de la Informacin
Ahora:
El banco debe cerciorarse que el proveedor de
servicio pueda mantener la confidencialidad,
integridad y disponibilidad de los activos de
informacin...
Actualizacin:
El banco debe cerciorarse que el proveedor
servicio mantiene un programa de seguridad
la informacin que le permita asegurar
confidencialidad, integridad, trazabilidad
disponibilidad de los activos de informacin
de
de
la
y
Se deben establecer los procedimientos que

aseguren el adecuado traspaso de informacin
al banco por parte del proveedor, y que ste en
ningn caso mantenga informacin en su poder
despus de finalizada la relacin contractual.
14
Monitoreo permanente de los servicios externalizados.

Ahora:
Control permanente del proveedor y del servicio.
Actualizacin:
Adems de lo que est presente actualmente en
la RAN, se debe evaluar y probar, al menos
anualmente, la existencia y suficiencia de los
procedimientos de traspaso a produccin y
escalamiento de incidentes; as como definir y
controlar los hitos relevantes de cada uno de
estos servicios.
15
Servicios externalizados en el extranjero.

Ahora:
No existe informacin.
Actualizacin:
Los tiempos de recuperacin debern ser
evaluados por la entidad, al menos una vez
al
ao,
tanto
para
los
procesos
transaccionales como Batch.
16
Servicios externalizados en el extranjero.

Ahora:
El banco debe estar en condiciones de efectuar
desde Chile el control y monitoreo del Centro de
Procesamiento de Datos en el Exterior.
Actualizacin:
El banco debe efectuar desde Chile el control y
monitoreo del servicio externalizado en el
Centro de Procesamiento de Datos en el
Exterior, especialmente, en los aspectos
relacionados con la seguridad de la
informacin, continuidad del negocio y
condiciones de operacin del centro de
procesamiento. Lo anterior, independiente de
las actividades propias de control y monitoreo
que realice el proveedor del servicio.
17
Agenda
I
Introduccin
II
mbito de aplicacin
III
IV
Comentarios
18
IV. Incumplimiento normativa

En el caso de incumplimientos a esta
normativa, en especial por aquellos bancos
que hayan externalizado en el exterior
actividades significativas o estratgicas o que
les
exponga a
riesgos operacionales
relevantes, este organismo podr requerir que
los servicios se realicen en el pas, o sean
ejecutados internamente por la entidad, segn
corresponda. En consideracin a lo anterior, el
banco deber mantener permanentemente
actualizado un plan que posibilite cumplir con
esos eventuales requerimientos.
19
Agenda
I
Introduccin
II
mbito de aplicacin
III
IV
Comentarios
20
V. Comentarios
Consultas:
Javier Hetzel Olgun
Consultor Business Resilience
Information Technology Advisory

KPMG Auditores Consultores Ltda.
+ 56 (2) 2798 1382
javierhetzel@kpmg.com
www.kpmg.cl
21
Modificaciones RAN 20-7 de la

Superintendencia de Bancos e
Instituciones Financieras (SBIF)
22

Modificaciones RAN 20-7

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Modificaciones RAN 20-7

Cargado por

Copyright:

Formatos disponibles

Modificaciones RAN 20-7 de la

Cundo entr en vigencia?

Implicancia para IPBR

En qu influye para el rea de IPBR?

II. mbito de aplicacin

III. Cambios significativos

Fortalecimiento de los aspectos de gestin de riesgos

Servicios de procesamientos de datos.

Se deben establecer los procedimientos que

Monitoreo permanente de los servicios externalizados.

Servicios externalizados en el extranjero.

Servicios externalizados en el extranjero.

IV. Incumplimiento normativa

Information Technology Advisory

Modificaciones RAN 20-7 de la

También podría gustarte