Norma Legal Oficial del día 28 de febrero del año 2020 (28/02/2020)
Si desea descargar el documento entero como pdf click aquí.
TEXTO DE LA PÁGINA 90
90
NORMAS LEGALES
Viernes 28 de febrero de 2020 /
El Peruano
Entendimiento de la organización; ii) diseño de la estrategia de continuidad; iii) implementación de la estrategia de continuidad; iv) plan de pruebas; v) capacitación; y, v) revisión y actualización. Artículo 4. Proporcionalidad del sistema de gestión de la continuidad del negocio 4.1. El sistema de gestión de la continuidad del negocio de la empresa debe ser proporcional al tamaño, la naturaleza y la complejidad de sus operaciones. 4.2. Las disposiciones referidas al sistema general de gestión de la continuidad del negocio y los reportes de interrupción de operaciones, descritas en los Subcapítulos I y IV del Capítulo II, respectivamente, son de aplicación obligatoria a las siguientes empresas: a) Empresa Bancaria; b) Empresa Financiera; c) Caja Municipal de Ahorro y Crédito - CMAC; d) Caja Municipal de Crédito Popular - CMCP; e) Caja Rural de Ahorro y Crédito - CRAC; f) Empresa de Seguros y/o Reaseguros; g) Empresa de Transporte, Custodia y Administración de Numerario; h) Administradora Privada de Fondos de Pensiones; i) Empresa Emisora de Tarjetas de Crédito y/o de Débito; j) Empresa Emisora de Dinero Electrónico; y, k) El Banco de la Nación. 4.3. Las disposiciones referidas al sistema simplificado de gestión de la continuidad del negocio, descritas en el Subcapítulo II del Capítulo II, son de aplicación obligatoria a las siguientes empresas: a) Banco de Inversión; b) Entidad de Desarrollo a la Pequeña y Micro Empresa EDPYME; c) Empresa de Transferencia de Fondos; d) Derrama y Caja de Beneficios bajo control de la Superintendencia; e) La Corporación Financiera de Desarrollo COFIDE; f) El Fondo MIVIVIENDA S.A.; g) El Fondo de Garantía para Préstamos a la Pequeña Industria FOGAPI; y, h) El Banco Agropecuario. 4.4. Las empresas señaladas en el Artículo 1 no listadas en los párrafos 4.2 o 4.3 anteriores, podrán establecer un sistema de gestión de la continuidad de negocio conforme a las disposiciones del presente reglamento. Artículo 5. Políticas para la gestión de la continuidad del negocio 5.1. Las políticas para la gestión de la continuidad del negocio deben ser aprobadas por el directorio, y considerar cuando menos lo siguiente: a) Encontrarse alineadas a los objetivos estratégicos de la empresa; b) Proveer un marco para establecer y alcanzar los objetivos de la gestión de la continuidad del negocio; y, c) Establecer los impactos máximos aceptables ante la ocurrencia de una interrupción, los cuales deben ser considerados para el análisis de impacto del negocio. 5.2. Las políticas deben ser revisadas periódicamente a fin de asegurar que se encuentren alineadas a los objetivos y la estructura organizativa de la empresa. Artículo 6. Responsable de la gestión de la continuidad del negocio 6.1 La gestión de la continuidad de negocio puede ser desempeñada por una unidad especializada o asignada a otra unidad de la empresa, atendiendo al tamaño, la naturaleza y la complejidad de sus operaciones. 6.2 La unidad a cargo de la gestión de la continuidad del negocio tiene las siguientes responsabilidades respecto a dicha gestión:
a) Proponer políticas; b) Desarrollar procedimientos y metodologías apropiados; c) Apoyar y asistir a las unidades de la empresa en la implementación de las políticas, procedimientos y metodología desarrollados; d) Asegurar que la gestión se integre a la gestión de riesgos de la empresa; e) Asegurar que el directorio, la gerencia general y el comité de riesgos tomen conocimiento de los aspectos relevantes de la gestión, para una oportuna toma de decisiones; f) Asegurar que el desarrollo de las actividades referidas a la gestión sea aprobado por las instancias correspondientes; y, g) Identificar las necesidades de capacitación y difusión para una adecuada gestión. CAPITULO II SISTEMAS DE GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO SUBCAPÍTULO I SISTEMA GENERAL DE GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO Artículo 7. Entendimiento de la organización 7.1 La empresa debe efectuar un análisis de impacto del negocio y una evaluación de riesgos que podrían causar una interrupción del negocio, cuyos resultados deben ser aprobados por el comité de riesgos e informados al directorio. 7.2 El análisis de impacto del negocio debe incluir lo siguiente: a) Un inventario de los productos o servicios entregados a personas naturales o jurídicas o entes jurídicos, que puedan verse afectados por la interrupción de las actividades de la empresa, incluyendo en dicho inventario a las obligaciones que se mantengan con dichas personas o entes; b) Una evaluación, a través del tiempo, de los impactos financiero, regulatorio y reputacional, en el público y en el cumplimiento de los objetivos estratégicos que podrían generarse como resultado de interrumpir la entrega de los productos y servicios, con el objetivo de determinar el PMTI y el TOR; c) La definición de los productos y servicios priorizados, en atención al PMTI y TOR correspondientes, así como la identificación de los procesos que los soportan; y, d) La estimación de los recursos propios y/o provistos por terceros, necesarios para la ejecución de los productos y servicios priorizados, y que incluyen al personal con capacidades técnicas, los procedimientos, información, tecnología e infraestructura. 7.3 La evaluación de riesgos que podrían causar una interrupción del negocio debe incluir cuando menos lo siguiente: a) Identificación de los puntos únicos de falla; b) Escenario en los que los recursos necesarios, propios y/o provistos por terceros, no se encuentren disponibles; y, c) La exposición a riesgos relacionada a la ubicación geográfica de sus instalaciones y la de aquellos proveedores cuya falla o indisponibilidad podría afectar la continuidad de las operaciones de la empresa. 7.4 Las metodologías para desarrollar el análisis de impacto del negocio y la evaluación de riesgos que podrían causar una interrupción del negocio deben ser consistentes con aquellas usadas para la gestión del riesgo operacional. Cabe precisar que los riesgos que podrían causar una interrupción deben ser considerados como parte de la gestión del riesgo operacional de la empresa. Artículo 8. Diseño de la estrategia de continuidad 8.1 La empresa debe diseñar estrategias que permitan asegurar la continuidad en la entrega de los productos y