Resolución CD-CONAMI-017-01AGO21-2014, NORMA SOBRE GESTIÓN DE RIESGO TECNOLÓGICO PARA INSTITUCIONES DE MICROFINANZAS

NORMA SOBRE GESTIÓN DE RIESGO TECNOLÓGICO PARA INSTITUCIONES DE MICROFINANZAS

RESOLUCIÓN No. CD-CONAMI-017-01AGO21-2014, Aprobado el 21 de Agosto del 2014

Publicado en La Gaceta No. 177 del 19 de Septiembre del 2014

El Consejo Directivo de la Comisión Nacional de Microfinanzas,

CONSIDERANDO:

IQue el artículo 47, numeral 4), de la Ley No. 769, Ley de Fomento y Regulación de las Microfinanzas, publicada en La Gaceta, Diario Oficial No. 128, del 11 de julio de 2011, referente a las obligaciones de la junta directiva, señala que, dicho órgano de administración, tiene entre sus responsabilidades velar porque se implementen e instruir para que se mantengan en adecuados funcionamiento y ejecución, las políticas, sistemas y procesos que sean necesarios para una correcta administración, evaluación y control de los riesgos inherentes al negocio; estableciendo dicho artículo la facultad del Consejo Directivo de dictar normas de aplicación general en las que se establezca la forma en que se implementarán las responsabilidades antes enunciadas.

II

Que el artículo 51, numeral 6) de la precitada Ley No. 769, establece, en sus partes conducentes, que las estrategias, políticas y directrices escritas que regulan el gobierno corporativo de las Instituciones de Microfinanzas (IMF) deben incluir, al menos, políticas sobre procesos integrales que incluyan la administración de los diversos riesgos a que pueda estar expuesta la institución, así como, sistemas de información adecuados y un comité para la gestión de dichos riesgos.

III

Que entre los riesgos a los que pueden estar expuestas las IMF en sus operaciones, se encuentra el riesgo operacional, entendido como el riesgo de pérdidas generadas por deficiencias o fallas en los procesos internos, en la Tecnología de la Información (TI), en las personas o por ocurrencia de eventos externos.

IV

Que es necesario establecer lineamientos mínimos a seguir por parte de las IMF para la identificación, mediación, monitoreo y control de los riesgos asociados a la Tecnología de Información (TI), en aras de contribuir a la estabilidad del sistema microfinanciero.

V

Que de acuerdo a las consideraciones antes expuestas y con base a las facultades establecidas en el artículo 6, numeral 5) y 17), artículo 12 numeral 4) y artículo 23, de la Ley 769, Ley de Fomento y Regulación de las Microfinanzas, y sus reformas.

En uso de sus facultades,

RESUELVE

Dictar la siguiente:

NORMA SOBRE GESTIÓN DE RIESGO TECNOLÓGICO PARA INSTITUCIONES DE MICROFINANZAS

RESOLUCIÓN N°CD-CONAMI-017-01AGO21-2014

CAPÍTULO I

DISPOSICIONES GENERALES Artículos 1 a 27

Artículo 1 Objeto.- La presente norma tiene por objeto establecer los requisitos mínimos que deben cumplir las Instituciones de Microfinanzas para la gestión de los riesgos asociados a la Tecnológico de Información, de acuerdo a la naturaleza, complejidad, volumen y perfil de riesgo de sus operaciones, con el fin de controlar o mitigar el posible impacto negativo de dichos riesgos.

Artículo 2 Alcance.- Las disposiciones de la presente norma son aplicables, sin excepciones, a las Instituciones de Microfinanzas (IMF) sujetas al registro, regulación, supervisión, vigilancia y fiscalización de la Comisión Nacional de Microfinanzas (CONAMI).

Artículo 3 Definiciones.- Los términos utilizados en la presente norma, deben ser interpretados de acuerdo con las siguientes definiciones:

1. Activo de la información: Es todo aquello que las entidades consideran importante o de alta validez para la misma ya que puede contener importante información como lo puede ser Bases de Datos con usuarios, contraseñas, números de cuentas, etc.

2. Administración Integral de riesgos: Consiste en detectar oportunamente los riesgos que pueden afectar a la empresa, para generar estrategias que se anticipen a ellos y los conviertan en oportunidades de rentabilidad para la empresa.

3. Alta Gerencia: La persona que en las instituciones ocupe el cargo de ejecución principal (Presidente Ejecutivo, Director General, Director Ejecutivo, Gerente General) o sus equivalentes.

4. Base de Datos: Serie de datos organizados y relacionados entre sí, los cuales son recolectados y explotados por los sistemas de información de la institución.

5. Bitácora: Registro manual o electrónico que provee información necesaria para identificar e investigar alguna actividad, problema o incidente.

6. Cableado estructurado: Es el conjunto de elementos pasivos, flexible, genérico e independiente, que sirve para interconectar equipos activos, de diferentes o igual tecnología permitiendo la integración de los diferentes sistemas de control, comunicación y manejo de la información, sean estos de voz, datos, videos, así como equipos de conmutación y otros sistemas de administración.

7. CONAMI: Comisión Nacional de Microfinanzas, constituida por la Ley como órgano regulador y supervisor de las Instituciones de Microfinanzas.

8. Continuidad del negocio: Estado continuo e ininterrumpido de operación de un negocio.

9. Días: Días calendarios, salvo que expresamente se establezca que se refiere a días hábiles.

10. Ejecutivo Principal: Funcionario de la IMF que tiene a su cargo la dirección diaria de las operaciones de la institución.

11. Evento: Suceso o serie de sucesos, internos o externos a la institución, originados por la misma causa, que ocurren durante un mismo período de tiempo.

12. Gobierno de TI: Estructura de relaciones y procesos para dirigir y controlar la institución con el objetivo de lograr sus metas, agregando valor mientras exista un balance entre los riesgos y beneficios de TI y sus procesos.

13. IFIM: Instituciones Financieras Intermediaria de Microfinanzas. Entendiéndose como tal, a toda persona jurídica de carácter mercantil o sin fines de lucro, que se dedicare de alguna manera a la intermediación de recursos para el microcrédito y a la prestación de servicios financieros y/o auxiliares, tales como bancos, sociedades financieras, cooperativas de ahorro y crédito, asociaciones, fundaciones y otras sociedades mercantiles.

14. IMF o Institución: Institución de Microfinanzas. Se considerará como IMF a las IFIM constituidas como persona jurídica sin fines de lucro o como sociedades mercantiles, distintas de los bancos y sociedades financieras, cuyo objeto fundamental sea brindar servicios de microfinanzas y posean un Patrimonio o Capital Social Mínimo, igual o superior a Cuatro Millones Quinientos mil Córdobas (C$4 5000,000.00), o en su equivalente en moneda dólar de los Estados Unidos de América según tipo de cambio oficial, y que el valor bruto de su cartera de microcréditos represente al menos el cincuenta por ciento de su activo total.

15. Incidente: Circunstancia o suceso que ocurre de manera inesperada y que puede afectar al desarrollo de un asunto o negocio, aunque no forme parte de él.

16. Información: Cualquier forma de registro electrónico, óptico, magnético o en otros medios, susceptible de ser procesada, distribuida y almacenada.

17. Hardware: Conjunto de todos los componentes físicos y tangibles de un computador o equipo eléctrico.

18. Junta Directiva: Principal órgano de administración de la IMF.

19. Ley: Ley No. 769, Ley de Fomento y Regulación de las Microfinanzas, y sus reformas, publicadas en La Gaceta, Diario Oficial No. 128, del 11 de julio de 2011.

20. Mejores Prácticas Aplicables: Se refiere a los marcos de referencia de control, estándares internacionales, u otros estudios que ayuden a monitorear y mejorar las actividades críticas de la tecnología de información, aumentar el valor de negocio, y reducir riesgos, tales como; COSO, COBIT, ITIL, ISO 17799, ISO 9001, CMM, entre otros.

21. Plan de Contingencia de TI: Documento aprobado por la junta directiva de la institución, en el que se detalla la estrategia de recuperación del procesamiento de los sistemas de información, con el fin de no afectar el funcionamiento normal de la institución. Tiene como objetivo asegurar un nivel aceptable de operatividad de los procesos críticos, ante fallas mayores internas o externas.

22. Políticas: Conjunto de prácticas establecidas por la junta directiva de la institución, por medio de las cuales se definen los cursos de acción a seguir por la administración.

23. Presidente Ejecutivo. Presidente Ejecutivo de CONAMI.

24. Proceso crítico: Proceso o sistema de información que al dejar de funcionar, afecta la continuidad operativa de la IMF.

25. Procedimiento: Método o sistema estructurado para ejecutar instrucciones. Lista detallada de la secuencia lógica y consistente de actividades y cursos de acción, por medio de las cuales se asegura el cumplimiento de una función operativa.

26. Rack: Soporte metálico destinado a alojar equipamiento electrónico, informático y de comunicaciones.

27. Recuperación: La restauración de operaciones específicas del negocio a un nivel suficiente para cumplir con las obligaciones de la institución, después de ocurrida una interrupción.

28. Riesgo: La probabilidad que se produzca un hecho generador de pérdidas que afecten el valor económico de la institución.

29. Riesgo Tecnológico: Pérdida potencial ocasionada por interrupción, falla o daño que se derivan del uso o dependencia en el hardware, software, sistema, aplicaciones, redes y cualquier otro canal de distribución de Información que una organización dispone para prestar sus servicios.

30. Tecnología de Información (TI): Hardware, Software, Sistemas de Información, Investigacion Tecnológica, Redes Locales, Bases de Datos, Ingeniería de Software, Telecomunicaciones, Servicios y Organización de Informática.

31. Sistemas de Información: Se refiere a cualquier sistema computacional que se utilice para obtener, almacenar, manipular, administrar, controlar, procesar, transmitir o recibir datos, para satisfacer una necesidad de...