El sistema financiero, el sistema asegurador y el sistema privado de pensiones (SPP), bajo la supervisión de la Superintendencia de Banca, Seguros y AFP (SBS), enfrentan riesgos que pueden ocasionar una interrupción de sus operaciones, tales como los ciberataques, pandemias y eventos naturales. Por esta razón, estas entidades deben estar preparadas para restablecer sus operaciones de manera rápida y eficiente.

La regulación de la SBS, en lo referido a la continuidad del negocio, ha madurado desde el año 2002, cuando se requirió contar con planes de continuidad del negocio para asegurar la operatividad de las tecnologías de la información, hasta la regulación actual que establece requerimientos para la gestión de la continuidad del negocio y requiere informes que permiten su análisis y supervisión. Asimismo, incorpora en sus funciones de supervisión, el análisis y revisión de las medidas tomadas por las empresas supervisadas ante estos riesgos; y, en varias ocasiones ha organizado, en conjunto con las empresas bancarias y de seguros, así como entidades de gobierno, ejercicios sectoriales que buscaron facilitar un ambiente de pruebas para todos los sistemas ante eventos muy severos.

Sin embargo, el constante desarrollo de las amenazas con un mayor nivel de sofisticación y la gran complejidad e interconexión de las actividades de las empresas, así como las oportunidades de mejora identificadas como resultado de los Ejercicios Sectoriales de Continuidad del Negocio -ejecutados en los años 2014 y 2017-, llevaron a proponer una actualización del marco normativo para incorporar buenas prácticas internacionales. En ese sentido, el 28 de febrero de este año se publicó, en el Diario Oficial, la Resolución SBS N° 877-2020 que aprueba el Reglamento para la gestión de continuidad del negocio.

Línea de tiempo del marco legal de la gestión de continuidad del negocio

El Reglamento

El nuevo Reglamento busca ser sensible al tamaño y complejidad de las empresas. Por ello, incorpora disposiciones asociadas a un sistema general de gestión de la continuidad del negocio y un sistema simplificado. Del mismo modo, establece disposiciones adicionales aplicables solo a las empresas del sistema financiero con mayor participación de mercado.

Se actualizan las responsabilidades y funciones del directorio y del comité de riesgos sobre los resultados del análisis de impacto del negocio, y la aprobación de las estrategias de continuidad del negocio. Además, establece las responsabilidades de la unidad a cargo de dicha gestión.

Orienta la gestión de la continuidad del negocio a la recuperación de los productos o servicios entregados a personas –naturales o jurídicas– o entes jurídicos, que puedan verse afectados por la interrupción de las actividades de la empresa.

También define los requisitos mínimos a tener en cuenta para el diseño de las estrategias de continuidad, tales como considerar la indisponibilidad de los recursos propios o provistos por terceros, las características de los centros de procesamiento de datos y las características de las instalaciones destinadas a la recuperación de los procesos que soportan los productos y servicios priorizados.

El Reglamento, además, incorpora y actualiza los requerimientos para el reporte de eventos de interrupción significativa de operaciones y los indicadores clave para la gestión de la continuidad del negocio.

Este nuevo marco legal entrará en vigencia a partir del 1 de enero 2021, derogando las actuales Circulares SBS N° 139-2009, N° 164-2012 y N° 180-2015.