CIRCULAR N° 2.261
Bancos
Santiago, 06 de julio de 2020
RECOPILACIÓN ACTUALIZADA DE NORMAS. Capítulos 1-13 y 20-10
Gestión de la seguridad de la información y ciberseguridad.
Mediante la presente Circular se incorpora a la Recopilación Actualizada de Normas el nuevo Capítulo 20-10 "Gestión de la seguridad de la información y ciberseguridad", que contiene lineamientos mínimos que deben observar los bancos con el objetivo de establecer sanas prácticas para una adecuada gestión de los riesgos en seguridad de información y ciberseguridad.
La correspondiente adhesión de las instituciones a estos será considerada en la evaluación de la gestión a que se refiere el Capítulo 1-13 de la Recopilación. En concordancia a lo anterior, se introducen los siguientes ajustes al referido Capítulo:
a) En el séptimo párrafo de la letra C) del numeral 3.2 del Título II:
- Se elimina desde la décimo segunda a la décimo quinta viñeta, ambas inclusive, dado que su contenido ya es abordado en el nuevo Capítulo 20-10.
- Se agrega el siguiente párrafo final:
"Adicionalmente, para una adecuada gestión de la seguridad de información y ciberseguridad, la evaluación de esta Comisión considerará lo dispuesto en el Capítulo 20-10 de esta Recopilación".
b) Se elimina el Anexo N°3 que contenía aspectos relativos a la gestión de la ciberseguridad, ya contenidos en el nuevo Capítulo 20-10.
c) En otro orden de cosas, se aprovecha la oportunidad para actualizar en el Capítulo 1-13 las referencias a la nueva institucionalidad del regulador, modificando las alusiones a la Superintendencia de Bancos e Instituciones Financieras; así como también, aquellas que refieren a la clasificación de solvencia, contenidas en su numeral 4.1 del Título I, a fin de concordarlas con las modificaciones que introdujo la Ley N°21.130.
Se adjuntan las hojas de la Recopilación que contienen el texto del nuevo Capítulo 20-10; las que reemplazan las N°s 1 a 16 y N°s 21 a 23 del Capítulo 1-13; la hoja N°4 del Índice de Capítulos; y las N°s 6, 9 y 18 del Índice por Materias.
Saludo atentamente a Ud.,
Joaquín Cortez Huerta
Presidente
Comisión para el Mercado Financiero
Capítulo 1-13
Hoja 1
CAPÍTULO 1-13
CLASIFICACIÓN DE GESTIÓN Y SOLVENCIA
El presente Capítulo contiene las disposiciones relativas a la clasificación que de los bancos, según su solvencia y gestión, debe mantener en forma permanente esta Comisión, de acuerdo con lo establecido en el Título V de la Ley General de Bancos. Adicionalmente, en el Capítulo se incorporan los aspectos esenciales de gestión del capital incluidos en los Principios de Basilea.
I. CLASIFICACION DE LOS BANCOS.
1. Categorías.
Conforme a lo establecido en el Título V de la Ley General de Bancos, esta Comisión debe mantener clasificadas a los bancos, según su gestión y solvencia, en una de las siguientes categorías:
Categoría I: Incluye a los bancos clasificados en nivel A de solvencia y nivel A de gestión.
Categoría II: Incluye a los bancos clasificados en nivel A de solvencia y nivel B de gestión, en nivel B de solvencia y en nivel A de gestión, o en nivel B de solvencia y nivel B de gestión.
Categoría III: Incluye a los bancos clasificados en nivel B de solvencia y por dos o más veces consecutivas en nivel B de gestión. Asimismo, estarán en esta categoría las instituciones que se encuentren clasificadas en nivel A o B de solvencia y en nivel C de gestión.
Categoría IV: Incluye a los bancos que se encuentren clasificados en nivel A o B de solvencia y, por dos o más veces consecutivas, en nivel C de gestión.
Categoría V: Incluye a los bancos que se encuentren clasificados en nivel C de solvencia, cualquiera sea su nivel de gestión.
Las reglas antes mencionadas se resumen en el cuadro del Anexo N° 1 de este Capítulo.
Capítulo 1-13
Hoja 2
2. Permanencia de la clasificación.
La clasificación de un banco rige a partir de la fecha en que ella sea comunicada por esta Comisión y hasta la fecha en que reciba una nueva comunicación en ese sentido.
Para este efecto, se informarán a cada banco los cambios en su nivel de gestión y en su nivel de solvencia, en las oportunidades que en cada caso corresponda, según lo indicado en los numerales 3.2 y 4.2 de este título.
3. Clasificación de gestión.
3.1. Niveles de gestión.
De acuerdo con la ley, los niveles de gestión deben determinarse según lo siguiente:
Nivel A: Bancos no clasificados en los niveles B o C.
Nivel B: Instituciones que reflejan debilidades relacionadas con su gobierno corporativo, los controles internos, seguridad de sus redes, sistemas de información para la toma de decisiones, seguimiento oportuno de los riesgos, clasificación privada de riesgo y capacidad para enfrentar escenarios de contingencia. Las debilidades de que se trate deben ser corregidas durante el período que preceda al de la próxima calificación, para evitar un deterioro paulatino de la solidez del banco. También deben considerarse las sanciones aplicadas a la empresa, salvo las que se encuentren con reclamación pendiente.
Nivel C: Instituciones que presenten deficiencias significativas en alguno de los factores señalados en el Nivel anterior, cuya corrección debe ser efectuada con la mayor prontitud para evitar un menoscabo relevante en su estabilidad.
3.2. Oportunidad de la clasificación de gestión.
La clasificación de un banco según gestión, se realizará a lo menos una vez en cada año calendario.
Conforme a lo dispuesto en la ley, el nivel de gestión asignado será notificado a la respectiva institución por esta Comisión dentro de los cinco días siguientes a la fecha en que la clasificación se resuelva.
En la notificación se indicarán los fundamentos que determinaron la asignación del nivel de gestión y la clasificación que, consecuentemente, le corresponde al banco de acuerdo con lo indicado en el N° 1 de este título, la que regirá a contar de la fecha de esa comunicación.
La asignación del nivel de gestión de un banco se basará en la evaluación practicada por este Organismo que se describe en el título II de este Capítulo.
Capítulo 1-13
Hoja 3
4. Clasificación de solvencia.
4.1. Niveles de solvencia.
De acuerdo con la Ley General de Bancos, los niveles de solvencia señalados en el N° 1 de este título, se determinan según la relación que registren los bancos entre su patrimonio efectivo, deducidas las pérdidas acumuladas en el ejercicio, y la suma de los activos ponderados por riesgo netos de las provisiones exigidas.
Corresponde el Nivel A de solvencia, cuando el patrimonio efectivo sobre activos ponderados por riesgo del banco, considerando el capital básico adicional a que se refiere el artículo 66 bis de la Ley General de Bancos, sea mayor o igual a 10,5% o a la relación superior que resulte de aplicar los cargos adicionales que contempla dicha ley en sus artículos 66 ter (ciclo económico), 66 quáter (banco sistémico) y 66 quinquies (proceso de evaluación de suficiencia de capital), cuando correspondan. Asimismo, el capital básico sobre activos ponderados por riesgo debe ser mayor o igual a 7,0% o a la relación superior que resulte de los cargos adicionales que deban ser aplicados de acuerdo a lo dispuesto en los citados artículos 66 ter, 66 quáter y 66 quinquies de la citada ley, según corresponda.
Corresponde el Nivel B de solvencia, cuando el banco cumpla con las exigencias de capital básico y patrimonio efectivo a que se refiere el artículo 66 de la ley, pero no satisfaga las exigencias adicionales contempladas en sus artículos 66 bis, 66 ter, 66 quáter y 66 quinquies.
Finalmente. corresponde el Nivel C cuando el banco no cumple con las exigencias de capital básico y patrimonio efectivo a que se refiere el artículo 66 de la ley.
El patrimonio efectivo y los activos ponderados por riesgo se calcularán según lo previsto en el Capítulo 12-1 de esta Recopilación.
Si bien la evaluación de solvencia tiene su correspondencia en lo establecido en el Capítulo 12-1 de esta Recopilación, resulta claro que los indicadores de solvencia también reflejan el adecuado uso de los recursos patrimoniales aportados por los accionistas para llevar a cabo las actividades del banco. Esto significa, entre otros aspectos, que debe existir una concordancia entre el nivel de capital que debe ser mantenido, en un contexto de mediano y largo plazo, y la gestión llevada a cabo por la administración para optimizar el uso de los recursos. Esa concordancia entre el nivel de capital y la gestión se ve plasmada en la estrategia de negocios que aborda y los riesgos que asume, en particular frente a escenarios de estrés. En suma, los niveles de patrimonio, así como su composición entre capital primario y secundario (capital básico y patrimonio efectivo) también deben obedecer a un análisis de sus necesidades en un contexto de mediano y largo plazo, lo cual, en definitiva, debiera quedar manifestado en la planificación de sus actividades.
4.2. Oportunidad de la clasificación de solvencia.
Dado que los niveles de solvencia son conocidos mensualmente, en caso de que en banco deba cambiarse dicha clasificación, esta Comisión se lo notificará dentro del mes siguiente a aquel a que se refiere la información que refleja el nuevo nivel.
Capítulo 1-13
Hoja 4
En esa comunicación se dejará constancia de la categoría que por la clasificación de gestión y solvencia le corresponde al banco de acuerdo con las reglas mencionadas en el N° 1 de este título, considerando el cambio en el nivel de solvencia a que se refiere este numeral.
II. EVALUACION DE LA GESTION DE LOS BANCOS.
1. Orientación general de la evaluación de la gestión según lo previsto en la ley.
De acuerdo con lo establecido en el artículo 62 de la Ley General de Bancos, las observaciones que emanen de la evaluación de esta Comisión deben tener relación con el gobierno corporativo, los controles internos, seguridad de sus redes, sistemas de información para toma de decisiones, seguimiento oportuno de los riesgos, clasificación privada de riesgos y capacidad para enfrentar escenarios de contingencia. La importancia relativa de las debilidades asociadas a uno o más de esos conceptos genéricos de distinta especie, se relacionan en la ley con la clasificación en los niveles B o C de gestión, debiéndose considerar también, para efectos de la clasificación, las sanciones aplicadas a la empresa que no se encuentren con reclamación pendiente. Según la ley, son debilidades propias de una clasificación en el Nivel B de gestión, aquellas deficiencias que deben ser corregidas antes de la próxima clasificación para evitar un deterioro paulatino en la solidez de un banco, en tanto que son debilidades que obligan a clasificar en el Nivel C, aquéllas que acarrean un menoscabo relevante para la estabilidad de la empresa y que, por lo tanto, requieren de correcciones con la mayor prontitud.
De lo indicado se desprende que la evaluación de esta Comisión debe apuntar al examen de las debilidades que perturban o pueden perturbar la solidez o estabilidad de los bancos en el corto o largo plazo.
En ese contexto, el enfoque de esta Comisión para esa evaluación, no puede sino concordar con principios de sana administración para el resguardo de la estabilidad o buena marcha de la empresa, donde el Directorio y la alta administración de cada entidad evaluada velen por una gestión eficaz de todos los riesgos importantes que asume o enfrenta en su caso, y que sus objetivos y planes estratégicos se basen en apreciaciones debidamente fundamentadas de su entorno y recursos.
Junto con lo anterior, este Organismo también considerará como factores esenciales para la clasificación, la adhesión a la normativa por parte del banco evaluado y el debido cumplimiento de los compromisos que haya asumido con esta Comisión y con otros organismos reguladores en lo que corresponda.
2. Proceso de evaluación.
La evaluación de una entidad se realizará a través de diversas visitas de inspección, como asimismo mediante el análisis de información acerca del banco evaluado y de reuniones para estar al corriente de acontecimientos que inciden o pueden incidir en la marcha normal de la institución.
Capítulo 1-13
Hoja 5
En todo caso, antes de realizar el proceso de clasificación de la gestión a que se refiere el numeral 3.2 del título I de este Capítulo, se efectuará una visita final, en la cual se harán las tareas necesarias para completar la evaluación y obtener las conclusiones definitivas respecto a la situación de la empresa.
Conforme a lo previsto en la ley, en la evaluación se considerarán los informes de los evaluadores privados que se refieran a debilidades atinentes a la gestión.
Respecto a las demás opiniones independientes que provengan de un examen de aspectos inherentes a la gestión de un banco, se tendrán en consideración, en la medida en que revelen debilidades importantes que toquen el contexto de la evaluación de esta Comisión, los informes de las auditorías externas, como asimismo, en el caso de bancos que tengan sucursales o filiales en el exterior, la información entregada por los organismos reguladores de los países anfitriones.
3. Descripción del alcance de la evaluación.
El Directorio, en tanto órgano colegiado encargado de la administración del banco, tiene un rol preponderante respecto de cada una de las materias sujetas a la evaluación de esta Comisión y que se precisan en el numeral 3.2 siguiente, en los términos que se detallan a continuación:
3.1. Gobierno corporativo y el rol del Directorio
Para efectos del presente Capítulo, se entenderá que el gobierno corporativo es el conjunto de instancias, directrices y prácticas institucionales que influyen en el proceso de toma de decisiones del banco, contribuyendo entre otras a la creación sustentable de valor, en un marco de transparencia y de una adecuada gestión y control de los riesgos.
El Directorio es el principal articulador de su gobierno corporativo y de una gestión prudente de los riesgos que enfrenta la entidad. En ese contexto, resulta fundamental que la labor estratégica del Directorio, orientada a la fijación de políticas y evaluación de su cumplimiento, se mantenga separada de las funciones propias de los gerentes u otras instancias en las que delega su implementación definitiva.
Respecto de las instituciones bancarias que no mantengan Directorio en Chile, como sucede con las sucursales de bancos extranjeros, el cumplimiento de los lineamientos constitutivos de un buen gobierno corporativo señalados en este Capítulo alcanza a las instancias que hagan sus veces en la sucursal o en la casa matriz, según corresponda a su estructura organizacional. En estos casos, los aspectos de buen gobierno corporativo se verifican a través de las políticas, prácticas y procedimientos determinados y aprobados por la sociedad matriz a nivel global o regional, según corresponda.
3.1.1 Elementos de un buen gobierno corporativo.
Las siguientes materias son consideradas inherentes a un buen gobierno corporativo y repercuten en una buena gestión de las materias que son objeto de evaluación, según lo indicado en el numeral 3.2 siguiente, por lo que serán vistas y ponderadas de acuerdo a las características propias de cada banco:
Capítulo 1-13
Hoja 6
a) Establecimiento de lineamientos estratégicos, valores corporativos, líneas de responsabilidad, monitoreo y rendición de cuentas.
Esta Comisión considera que el Directorio, de acuerdo al mandato legal que establece su competencia, debe definir y aprobar tanto los objetivos y políticas, como el plan estratégico de la institución, promoviendo una gestión del capital de mediano y largo plazo acorde con el perfil de riesgo que haya definido. En dicha labor, es esperable que el órgano de administración considere también la debida protección a los intereses de los accionistas y del público en general, así como riesgos de naturaleza distinta que pudiesen afectar a la institución bancaria, como es por ejemplo el riesgo reputacional, de modo que el conjunto de estas acciones conduzca al desarrollo sostenible de la institución en el largo plazo.
Para cumplir con tales responsabilidades, el Directorio debe ser capaz de establecer y sancionar los valores corporativos que identifican al banco y complementan sus objetivos estratégicos, considerando también las líneas de responsabilidad necesarias para asegurar su adecuada implementación.
En la evaluación de las distintas dimensiones que abarcan las materias mencionadas, se considerarán situaciones como las que se describen a continuación:
- La entidad mantiene políticas formalmente establecidas para la administración de los distintos riesgos que se tratan en el numeral 3.2 siguiente. Dichas políticas son aprobadas por el Directorio, procurando que sean consistentes con el plan estratégico y los valores institucionales.
- El Directorio define y aprueba el marco de apetito de riesgo al cual están alineadas las políticas de administración de los diversos riesgos que deba soportar la entidad, considerando los riesgos que se pueden presentar cuando el banco forma parte de un grupo empresarial.
- El banco mantiene un marco de Gobierno Corporativo aprobado por el Directorio, que incluye los valores corporativos y los principios institucionales. Asimismo, cuenta con códigos, reglamentos o manuales que abordan aspectos tales como los imperativos de conducta que guíen la actuación de los empleados al interior de la entidad, la interacción con el público en general u otros grupos de interés, las reglas sobre posibles conflictos de interés, y la manera como estos son prevenidos y solucionados.
- La implementación del plan estratégico y los valores corporativos es realizada por personal designado para dichos efectos, quienes a su vez informan y rinden cuenta al Directorio de manera periódica, con el objeto de monitorearlos y evaluar posibles cambios.
- El Directorio establece líneas claras de responsabilidad, para asegurar que los objetivos estratégicos, valores corporativos y cultura de riesgo, sean divulgados mediante mecanismos formales, establecidos por él mismo o por la instancia a la cual delega tal responsabilidad, de manera de lograr su oportuno y cabal entendimiento y aplicación al interior de la institución.
Capítulo 1-13
Hoja 7
- El Directorio establece la existencia de canales de comunicación, para que las personas que trabajan en la entidad puedan informar reservadamente comportamientos que no se ajusten a los códigos de ética o conducta.
- Las actas levantadas en cada sesión del Directorio reflejan con claridad todos los asuntos tratados en cada reunión, tales como los acuerdos o compromisos tomados y el seguimiento de los mismos; los planes de acción y asignación de responsabilidades; así como el estado de avance de proyectos estratégicos, entre otros.
- El Directorio cuenta con el apoyo de diversos comités, acordes a la naturaleza y complejidad de las actividades del Banco, en los que participan uno o más integrantes del mismo y que le permiten tratar y monitorear aspectos específicos de su competencia.
b) Verificación del desempeño de la alta administración y cumplimiento con las políticas establecidas por el Directorio.
Para fines del presente Capítulo se entenderá que la alta administración está conformada tanto por aquellos individuos a quienes el Directorio ha encargado la responsabilidad de implementar el plan estratégico de la entidad y las políticas para gestión de los riesgos de que trata este Título, como también aquellos que pueden comprometer al Banco para tales efectos, dadas sus atribuciones.
La existencia de elementos como los que se describen a continuación, dan cuenta de que el Directorio verifica el cumplimiento de su mandato:
- El Directorio cuenta con políticas previamente definidas relativas a la selección, evaluación, remoción y sucesión de las distintas instancias que conforman la alta administración, acordes con la naturaleza particular de las mismas, las que son ajustadas y revaluadas en el tiempo.
- El Directorio procura el desarrollo de mecanismos formales para la evaluación de la alta administración, con el objeto de velar por la implementación y buen cumplimiento de sus políticas y decisiones. Para dicho fin el Directorio se informa periódicamente, en la oportunidad y a través de los medios que defina para tales efectos, de los resultados que generen dichos mecanismos.
- El Directorio cuenta con mecanismos de autoevaluación periódica, que le permiten identificar oportunidades de mejoramiento en su propia gestión.
- El Directorio establece políticas de retribución y mecanismos de compensación de los altos ejecutivos, consistentes con un comportamiento prudente en las actividades de negocio y una sana cultura de riesgo.
- El Directorio vela porque el banco cuente con mecanismos adecuados y dedicados para dar cumplimiento a la legislación, regulación y políticas internas que les sean aplicables.
- Existe una clara designación de responsabilidades y segregación de funciones al interior de la entidad, que permite una adecuada contraposición de intereses.
Capítulo 1-13
Hoja 8
- Se promueve una cultura de rendición de cuentas, a través de canales que son conocidos y aprobados por el Directorio para tales efectos. Dichos canales permiten el flujo y respaldo de la información, de manera segura y fidedigna.
- Los sistemas de información habilitados para transparentar el funcionamiento de la entidad, especialmente en lo que respecta a la gestión de riesgos y la efectividad de sus mecanismos de control, consideran la presentación completa, periódica y oportuna de informes al Directorio.
c) Promoción de controles internos sólidos y de una auditoría efectiva.
Para garantizar una gestión prudente de la institución y de los riesgos sujetos a esta evaluación, el Directorio debe impulsar el establecimiento de procedimientos y sistemas de control interno, acordes con la naturaleza de las actividades desarrolladas por el banco y la complejidad de la estructura organizacional que las sustenta.
Para que la función de auditoría interna se desarrolle eficazmente y con la debida independencia, es indispensable que el compromiso del Directorio se plasme a través de la entrega de un marco de acción general, que contemple la definición de una estructura, la asignación de recursos necesarios y de una apropiada validación, tanto de las observaciones levantadas como de las acciones propuestas para superarlas.
Dicho nivel de compromiso también debe manifestarse a través del Comité de Auditoría, instancia responsable de entregar apoyo al Directorio en la evaluación constante de la calidad de los sistemas de control interno, el reforzamiento de la función de auditoría interna y la vinculación y coordinación con los auditores externos.
A continuación se describen algunos elementos que entregan indicios de una buena gestión y un adecuado involucramiento del Directorio en las materias antes descritas:
- El Directorio ha dispuesto mecanismos formales para informarse periódica y adecuadamente sobre aspectos claves de la institución tales como el financiero, operacional, regulatorio y de capital humano.
- El Directorio del banco ha definido formalmente lo que constituye el rol de la función de auditoría interna, explicitando sus objetivos y alcances, su posición dentro de la entidad, su organización, atribuciones, responsabilidades y relaciones con otras áreas de control. En este contexto, el Directorio promueve la suficiencia y calidad de los recursos materiales y humanos disponibles para ejercer su función.
- El Directorio de la entidad aprueba el plan de auditoría anual y recibe información periódica sobre su grado de cumplimiento.
Capítulo 1-13
Hoja 9
d) Mecanismo de divulgación de información
La disponibilidad de información completa, fidedigna y oportuna es una condición indispensable para la adecuada gestión del banco, por lo que el Directorio debe establecer los contenidos mínimos que considere adecuados y tomar las medidas que estime necesarias para su divulgación en las instancias pertinentes, tanto al interior como exterior de la entidad, ejerciendo el control de su cumplimiento.
Parte de la información a divulgar deberá comprender aspectos de interés público, tales como los definidos en el Título V del Capítulo 1-4 de esta Recopilación, que permitan a los accionistas y a las demás partes interesadas tener un conocimiento adecuado de la entidad, de sus políticas y de los principios que la rigen, definidos por el mismo Directorio.
3.2. Administración y control de los riesgos y otras materias sujetas a evaluación.
En los literales siguientes se describe brevemente la orientación de la evaluación, considerando para el efecto las siguientes agrupaciones de materias:
A) Administración del riesgo de crédito y gestión global del proceso de crédito.
B) Gestión del riesgo financiero y operaciones de tesorería.
C) Administración del riesgo operacional.
D) Administración de los riesgos de exposiciones en el exterior y control sobre las inversiones en sociedades.
E) Prevención del lavado de activos y del financiamiento del terrorismo.
F) Administración de la estrategia de negocios y gestión del capital.
G) Gestión de la calidad de atención a los usuarios y transparencia de información.
H) Gestión de la función de auditoría interna y rol del comité de auditoría.
Las materias indicadas en las letras A), B), C), D) y E) se relacionan principalmente con el seguimiento oportuno de los riesgos. Las señaladas en las letras F) y G) están relacionadas especialmente con la capacidad para enfrentar escenarios de contingencia y, finalmente, la mencionada en la letra H) guarda relación con el control interno. Respecto a los sistemas de información para la toma de decisiones a que se refiere la ley, ellos están presentes, en general, en todas las materias.
A) Administración del riesgo de crédito y gestión global del proceso de crédito.
La evaluación comprende el examen de la gestión del riesgo de crédito y de los factores de riesgo del proceso de crédito, que va desde la definición del mercado objetivo hasta la recuperación de los préstamos.
Capítulo 1-13
Hoja 10
En la evaluación interesa, en primer lugar, la compatibilidad entre las políticas y procedimientos establecidos por la entidad, con respecto al volumen y complejidad de sus operaciones y su estrategia comercial. Junto con ello, se examinará la manera en que se han establecido las políticas y la forma en que el Directorio participa en su aprobación y supervisa su cumplimiento, como asimismo la calidad y efectividad de los controles orientados a asegurar el cumplimiento de las políticas y procedimientos inherentes a las colocaciones.
Serán también materia de examen la suficiencia y eficacia de las segregaciones funcionales, especialmente las que deben existir entre las áreas comerciales y aquellas encargadas de la función de administración del riesgo y de auditoría interna. En esto es esencial, por una parte, que la administración del riesgo de crédito sea una contraparte efectiva de las áreas tomadoras de riesgo y, por otra, que la posición independiente de la función de auditoría interna permita una adecuada cobertura y profundidad de las revisiones y la adopción oportuna de medidas correctivas por parte de las áreas auditadas.
En lo que toca a la administración del riesgo de crédito, se evaluarán los mecanismos y técnicas de detección, acotamiento y reconocimiento oportuno de los riesgos que asume la entidad en el desarrollo de sus actividades de crédito. En este ámbito, es clave la capacidad de la entidad para mantener permanentemente bien clasificada su cartera, su dominio sobre los factores de riesgo asociados a sus operaciones y su disposición para reconocer en forma oportuna en sus resultados los riesgos individuales de crédito a que está expuesta, como también su capacidad para limitar los riesgos de concentración de la cartera en general.
Asociado a lo anterior, constituye también un aspecto relevante de la evaluación, el examen de la cobertura y profundidad de la información acerca de los deudores, tanto aquella referida a su comportamiento de pago, incluyendo la adecuada administración de su cuenta corriente en el banco, como a sus condiciones financieras generales.
En relación con lo descrito precedentemente, una buena gestión puede manifestarse, por ejemplo, en circunstancias tales como:
- La entidad mantiene políticas para la administración de los riesgos aprobadas por el Directorio, que atienden la importancia de los riesgos considerando el volumen y complejidad de las operaciones, las proyecciones de crecimiento y el desarrollo de nuevos negocios.
- Las políticas aprobadas para la administración de los riesgos consideran especialmente la identificación, cuantificación, limitación y control de las grandes exposiciones en clientes, grupos o sectores económicos.
- La estructura de límites, tanto en lo que toca al riesgo individual de las operaciones como al riesgo de portafolio, es consecuente con un nivel tolerable de exposición al riesgo según sus condiciones financieras generales.
- Las políticas y procedimientos relacionados con la administración de los riesgos son conocidos y respetados por todo el personal involucrado. Asimismo, los procedimientos establecidos para las distintas etapas del proceso de crédito, están arraigados en el banco.
Capítulo 1-13
Hoja 11
- La entidad cuenta con mecanismos que le permiten una medición y seguimiento oportuno del riesgo asumido, plenamente compatibles con el volumen y complejidad de las operaciones.
- Las operaciones con partes relacionadas se sujetan a criterios prudenciales de administración del riesgo y se otorgan en las mismas condiciones que los demás créditos.
- La función de administración del riesgo de crédito se desarrolla en forma independiente de las áreas de negocio. Las opiniones emitidas por los responsables de esa función, son reconocidas y consideradas por los distintos niveles de la organización pertinentes.
- Los sistemas de información permiten hacer un seguimiento continuo de la exposición a los riesgos. Poseen la cobertura y profundidad necesarias para servir en forma eficiente al proceso de toma de decisiones.
- Las auditorías internas cubren con una adecuada identificación, cuantificación y priorización, los distintos riesgos relacionados con las colocaciones.
- La entidad mantiene sanas prácticas de administración financiera que comprenden la plena identificación, medición y control de todos los riesgos de sus clientes y de los productos que estos contratan y de aquellos que unilateral-mente entrega el banco como, por ejemplo, en el caso de la aprobación de sobregiros no pactados. Estos se documentan adecuadamente, se constituyen los resguardos necesarios y se evalúa la continuidad del contrato de cuenta corriente cuando un cliente los ocasiona en forma reiterada.
B) Gestión del riesgo financiero y operaciones de tesorería.
La evaluación comprende el manejo de los riesgos de liquidez y precios (tasas de interés y tipos de cambio) y la gestión de las operaciones de tesorería financiera en general. El examen se centra en los elementos claves que aseguran una adecuada identificación, cuantificación, limitación y control de los riesgos.
En esta materia es particularmente importante el alcance de las políticas y la compenetración del Directorio en la aprobación de las mismas y en los riesgos asociados a nuevos productos u operaciones; la eficacia de los límites que acotan los riesgos en relación con la filosofía general de riesgo del banco y su situación financiera general; la forma en que la entidad está organizada para abordar integralmente la administración del riesgo financiero; la efectividad de los sistemas de vigilancia y de los métodos de ingeniería financiera utilizados; y, la fortaleza de los controles operativos.
De la evaluación merecen destacarse las actividades dirigidas a examinar: la eficacia de la separación funcional entre las áreas tomadoras de riesgo, de seguimiento o control y de operación, lo cual constituye un factor crítico de control; la compatibilidad entre las técnicas de administración de riesgo utilizadas y el nivel y complejidad de las operaciones que realiza el banco; la calidad de la información tanto estratégica como operativa; y, la efectividad de las auditorías internas.
A efectos ilustrativos, una buena gestión en relación con esta materia puede manifestarse en situaciones tales como:
Capítulo 1-13
Hoja 12
- Los riesgos de las posiciones y negocios individualmente considerados, como asimismo el riesgo consolidado del banco, están acotados por límites aprobados por el Directorio, compatibles con las actividades, estrategias y objetivos de la empresa. Tanto para la aprobación de dichos límites como de las políticas que, en general, condicionan las operaciones de tesorería, al igual que para el seguimiento posterior de su cumplimiento y eficacia, el Directorio cuenta con la información necesaria para apreciar cabalmente la sustentación y los riesgos a que está expuesta la institución.
- La empresa está organizada para manejar los riesgos financieros en forma integral. La planificación, administración y control constituyen procesos asentados en los distintos niveles de la organización; y la alta administración cuenta con la información necesaria para la evaluación periódica de los mismos.
- La responsabilidad de la administración de activos y pasivos depende de alguna de las instancias que conforman la alta administración, cuya función permite acotar el riesgo a niveles razonables, manteniendo políticas y estrategias financieras consecuentes con los lineamientos de exposición al riesgo sancionados por el Directorio y con las estrategias comerciales del banco.
- Los nuevos productos, en forma previa a su lanzamiento, son sometidos a un riguroso análisis de los riesgos involucrados.
- La evaluación y control de los riesgos se desarrolla con suficiente independencia de las áreas tomadoras de riesgo, contándose con personal especializado y soportes acordes con el alcance, tamaño y complejidad de las actividades del banco y con los riesgos que ésta asume.
- Las responsabilidades y atribuciones se encuentran claramente definidas, existiendo asignaciones de responsabilidades y niveles jerárquicos apropiados para las funciones claves de negociación, operación y control.
- El sistema de información para la toma de decisiones provee información oportuna y confiable para cautelar la exposición a los riesgos financieros. La información cubre apropiadamente los riesgos financieros y las diversas operaciones de tesorería, permitiendo a los usuarios tomar decisiones bien fundadas en relación con las posiciones y la gestión financiera.
- El banco cuenta con mecanismos para una adecuada identificación, cuantificación y limitación de los riesgos de liquidez y precio, acordes con el grado de refinamiento y complejidad de las transacciones y la naturaleza de los riesgos asumidos. Utiliza herramientas de ingeniería financiera compatibles con los riesgos que asume y mantiene procedimientos adecuados para enfrentar contingencias.
- La extensión y profundidad de las auditorías es proporcional al nivel de riesgo y al volumen de actividad. La función de auditoría está en posición de evaluar el cumplimiento de las políticas, la eficacia de los procedimientos (de operación, control de riesgos, contables y legales) y los sistemas de información.
Capítulo 1-13
Hoja 13
En todo caso, los criterios de evaluación de la política de administración de liquidez se basan en el cumplimiento de lo dispuesto en el Capítulo III.B.2.1 del Compendio de Normas Financieras del Banco Central de Chile y del Capítulo 12-20 de esta Recopilación. En lo que respecta a los riesgos de mercado tratados en el Capítulo III.B.2.2 de ese Compendio de Normas Financieras y en el Capítulo 12-21 de esta Recopilación, se entenderá que la política de administración de estos riesgos concuerda con los criterios mínimos de evaluación, cuando dicha política considere todos los aspectos señalados en el Anexo N° 2 de las presentes normas.
C) Administración del riesgo operacional.
Esta Comisión considera como marco referencial, la definición de riesgo operacional propuesta por el Comité de Basilea. Por lo tanto, se entenderá como tal el riesgo de pérdidas resultantes de una falta de adecuación o de una falla de los procesos, del personal y de los sistemas internos o bien por causa de acontecimientos externos.
En este contexto resultará de interés para la evaluación que sobre el referido riesgo hará la Comisión, el rol asumido por el Directorio y la aprobación que han dado a la estrategia a utilizar en su administración, entendiendo este riesgo como de una categoría distinta de los riesgos bancarios tradicionales.
Dicha estrategia, atendida la importancia relativa y el volumen de operaciones de la entidad, debe contemplar una definición clara de lo que considerará como riesgo operacional y establecer los principios para su identificación, evaluación, control y mitigación. En este sentido, si la exposición al riesgo es significativa, cobra relevancia la existencia de definiciones precisas de lo que se entenderá por pérdidas operacionales, ya sean esperadas o inesperadas, por cuanto los tratamientos de mitigación son diferentes en uno y otro caso.
Asimismo, es esencial que las instituciones cuenten con una clara definición, caracterización e identificación de los principales activos de información y de la infraestructura física que soporta y resguarda la seguridad de los mismos. En este ámbito, las entidades también deben gestionar la seguridad de sus activos de información expuestos a riesgos en el ciberespacio, entendido este como el entorno que permite la interacción lógica, es decir, no física, mediante la conexión de redes tecnológicas.
En la evaluación que hará este Organismo, interesa observar la compatibilidad entre las políticas y procedimientos aprobados por el Directorio, con respecto al volumen, sofisticación y naturaleza de sus actividades. Asimismo, se examinará la manera en que se han establecido las políticas y la forma en que el Directorio de la empresa participa en su aprobación y supervisa su cumplimiento.
Será también materia de examen comprobar si la posición independiente de la función de auditoría interna permite una adecuada cobertura y profundidad de las revisiones y la adopción oportuna de medidas correctivas por parte de las áreas auditadas.
En ese sentido, revelan una buena gestión, por ejemplo, situaciones o hechos tales como:
Capítulo 1-13
Hoja 14
- El Directorio procura el establecimiento de una definición de riesgo operacional y lo reconoce como un riesgo gestionable. Especial importancia tendrá la existencia de una función encargada de la administración de este tipo de riesgo.
- La entidad mantiene políticas para la administración de los riesgos operacionales aprobadas por el Directorio, que atienden la importancia relativa de los riesgos operacionales considerando el volumen y complejidad de las operaciones.
- La estrategia de administración del riesgo operacional definida por el banco, es consistente con el volumen y complejidad de sus actividades y considera el nivel de tolerancia al riesgo del banco, incluyendo líneas específicas de responsabilidad. Esta estrategia ha sido implementada a través de toda la organización bancaria, y todos los niveles del personal asumen y comprenden sus responsabilidades respecto a la administración de este riesgo.
- La entidad administra los riesgos operacionales considerando los impactos que pudieran provocar en el banco (severidad de la pérdida) y la probabilidad de ocurrencia de los eventos.
- La entidad realiza evaluaciones del riesgo operacional inherente a todos los tipos de productos, actividades, procesos y sistemas. Asimismo, se asegura que antes de introducir nuevos productos, emprender nuevas actividades, o establecer nuevos procesos y sistemas, el riesgo operacional inherente a los mismos esté sujeto a procedimientos de evaluación.
- El banco ha integrado a sus actividades normales el monitoreo del riesgo operacional y ha identificado indicadores apropiados que entreguen alertas de un aumento del riesgo y de futuras pérdidas.
- El banco es capaz de cuantificar los impactos de las pérdidas asociadas al riesgo operacional y constituir prudencialmente los resguardos necesarios.
- Los sistemas de información permiten hacer un monitoreo continuo de la exposición a los riesgos operacionales. Poseen la cobertura y profundidad necesarias para servir en forma eficiente al proceso de toma de decisiones, de acuerdo a las necesidades propias de las distintas instancias organizacionales.
- El banco cuenta con políticas para administrar los riesgos asociados a las actividades entregadas a terceras partes y lleva a cabo verificaciones y monitoreos a las actividades de dichas partes.
- El banco realiza inversiones en tecnología de procesamiento y seguridad de la información, que permiten mitigar los riesgos operacionales y que son concordantes con el volumen y complejidad de las actividades y operaciones que realiza.
- El banco cuenta con una adecuada planificación a largo plazo para la infraestructura tecnológica y dispone de los recursos necesarios para el desarrollo normal de sus actividades, entre estas las políticas de actualización y parche de software, y para que los nuevos proyectos previstos se concreten oportunamente.
Capítulo 1-13
Hoja 15
- El banco considera en sus planes de continuidad del negocio y contingencia, diversos escenarios y supuestos que pudieran impedir que cumpla toda o parte de sus obligaciones y en ese sentido ha desarrollado una metodología formal que considera en sus etapas, la evaluación de impacto y criticidad de sus servicios y productos, la definición de estrategias de prevención, contención y recuperación, así como pruebas periódicas de tales estrategias.
- El banco ha implementado un proceso para controlar permanentemente la incorporación de nuevas políticas, procesos y procedimientos, que permiten detectar y corregir sus eventuales deficiencias de manera de reducir la frecuencia y severidad de los eventos de pérdida. Asimismo, el Directorio y la alta administración reciben reportes periódicos, con la información pertinente al rol que desempeñan.
- La entidad bancaria ha adoptado una estrategia y sistema de gestión de calidad respecto de sus productos, servicios, e información que suministra a sus clientes, reguladores y a otros entes.
- La extensión y profundidad de las auditorías es proporcional al nivel de riesgo y al volumen de actividad. La función de auditoría está en posición de evaluar en forma independiente el cumplimiento de las políticas, la eficacia de los procedimientos y los sistemas de información.
Sin perjuicio de lo anterior, en lo que se refiere específicamente a la gestión de la continuidad del negocio, la evaluación de esta Comisión cubrirá los aspectos que se detallan en el Capítulo 20-9 de esta Recopilación.
Adicionalmente, para una adecuada gestión de la seguridad de información y ciberseguridad, la evaluación de esta Comisión considerará lo dispuesto en el Capítulo 20-10 de esta Recopilación.
D) Administración de los riesgos de exposiciones en el exterior y control sobre las inversiones en sociedades.
La evaluación abarcará el control sobre las sucursales en el exterior, filiales y sociedades de apoyo al giro, ubicadas en el país o en el extranjero. Por otra parte, también incluye la gestión global de las operaciones de crédito hacia el exterior, las inversiones minoritarias en sociedades y las transacciones efectuadas en el extranjero, en general.
En lo que se refiere a la presencia de sucursales en el exterior, filiales y sociedades de apoyo al giro, interesa la suficiencia y efectividad del control ejercido por la matriz. Al respecto se espera un control permanente de las entidades, acorde con las peculiaridades del entorno en que ellas se desenvuelven y su grado de autonomía, que permita el seguimiento de su marcha y una reacción oportuna frente a factores perturbadores.
En la evaluación de la gestión global de los préstamos y operaciones en el exterior, incluidas aquellas efectuadas desde el exterior con terceros países, constituye un elemento clave el dominio que tiene el banco sobre el riesgo-país (riesgo soberano y de transferencia), y que pasa por un análisis permanente de la situación de los países en que compromete sus recursos y la fijación de límites en relación con la concentración de cartera en cada país.
Capítulo 1-13
Hoja 16
Con respecto al riesgo de crédito, el enfoque de la evaluación no difiere del mencionado en la letra A) de este numeral 3.2. Por lo mismo, interesa particular-mente la suficiencia de la información relativa a los deudores y al comportamiento de su entorno, y los criterios para la fijación de límites de crédito que atiendan a las características de los deudores y tipo de financiamiento.
Por otra parte, dado que en las operaciones con el exterior adquiere una relevancia especial el manejo del riesgo legal, merece destacarse también el examen de los procedimientos que permiten operar con un conocimiento fundado y oportuno de los efectos contractuales.
Al igual que en las otras materias antes descritas, la evaluación apunta asimismo a asegurarse de la eficacia de las auditorías internas. En el caso de las sucursales en el exterior, filiales y sociedades de apoyo al giro, tanto nacionales como en el exterior, es importante también, en este aspecto, la forma en que se cubre la función de auditoría.
Una gestión óptima en relación con lo señalado en este numeral, la mostrarían, por ejemplo, situaciones globales como las siguientes:
- El Directorio ejerce una supervisión efectiva sobre la alta administración, para asegurar que el banco maneja los riesgos de sus inversiones y operaciones internacionales en forma sana y segura.
- Las sucursales en el exterior, las filiales y sociedades de apoyo al giro en el país y en el extranjero, están sujetas a un control permanente y con medios que permiten tomar las medidas correctivas oportunas en caso de ser necesario, tanto en lo que se refiere a la marcha de los negocios, riesgos (patrimoniales y de reputación), rentabilidad y compromisos de capital, como en lo que se refiere a la verificación del cumplimiento de directrices o políticas de la matriz y, particularmente, para el caso de sucursales en el exterior del cumplimiento de las regulaciones de los países anfitriones.
- Las políticas para administrar el riesgo-país exigen una evaluación permanente de los países en los cuales se mantienen exposiciones y contemplan límites de exposición acordes con la situación financiera general del banco, debidamente aprobados y sujetos a seguimiento. Los procedimientos de evaluación del riesgo país contemplan el análisis por parte de profesionales independientes e idóneos, tanto de los factores económicos como de los políticos y sociales que en alguna medida podrían repercutir en el normal retorno de los flujos de las inversiones.
- Las estrategias comerciales en relación con las operaciones en el exterior, son compatibles con la capacidad del banco para efectuarlas bajo control de los riesgos. Las decisiones sobre nuevos negocios u operaciones con contrapartes radicadas en el exterior, son tomadas sobre la base de un análisis previo de todos los riesgos inherentes, cubriéndose en consecuencia, sistemáticamente, el riesgo país, el riesgo de crédito, el riesgo financiero, el riesgo legal y el riesgo operativo que derive de las peculiaridades de las operaciones.
- En el caso de las filiales, el banco ha establecido mecanismos que le permiten asegurarse de que las políticas relativas a riesgos, son consistentes con sus propias políticas. Asimismo, puede obtener mediciones consolidadas de los riesgos más relevantes, utilizando metodologías adecuadas a la escala y complejidad de los negocios llevados a cabo.
Capítulo 1-13
Hoja 21
- Los informes de auditoría se distribuyen adecuadamente, de manera que el Directorio tiene conocimiento oportuno del alcance y los resultados de los mismos. Los informes deben identificar claramente las causas y efectos de los problemas, de manera que se pueda dimensionar el nivel de exposición al riesgo, presente en las distintas unidades auditadas.
- La función de auditoría cuenta con un sistema de seguimiento formal que permite controlar el cumplimiento de los compromisos adquiridos por las distintas áreas auditadas. Los informes de seguimiento son distribuidos a las mismas instancias a las que se informaron las observaciones.
- Las observaciones emanadas de los informes de auditoría se traducen en acciones concretas por parte de la línea, que pueden ser evaluadas y que permitan corregir las debilidades.
- El área que ejerce las funciones de auditoría interna cuenta con programas de trabajo de las distintas materias que audita, los que deben tener un enfoque de riesgos.
- El Comité de Auditoría, cumple apropiadamente con aquellas funciones de carácter permanente y no permanente establecidas en el Capítulo 1-15 de esta Recopilación.
4. Metodología y resultado de evaluación.
La clasificación según gestión será fundamentada por este Organismo en la notificación mencionada en el numeral 3.2 del título I de este Capítulo. En dicha comunicación se darán a conocer los resultados de la evaluación, indicándose las debilidades que hayan sido determinantes en caso de calificarse en el nivel B o C. Esto no es óbice, claro está, para informar también acerca de aquellas deficiencias observadas que no hayan sido gravitantes para la clasificación, cualquiera sea el nivel de gestión en que el banco quede clasificado.
Los numerales precedentes contienen sólo una breve descripción del alcance de la evaluación, a fin de dar una idea acerca de la índole de los problemas o situaciones que pueden eventualmente repercutir en la clasificación final. La forma de agrupación de las materias en esos numerales, no constituye un elemento asociado a posibles ponderaciones de debilidades que pudieren observarse, y las circunstancias que en cada numeral se mencionan a modo de ejemplo de una buena gestión, no constituyen por si solo requisitos que deban cumplirse para una clasificación en el más alto nivel de gestión, sino que sólo tienen un carácter ilustrativo de la orientación implícita de la evaluación.
Sin perjuicio de lo anterior y para efectos de otorgar una calificación a las materias referidas con el seguimiento oportuno de los riesgos señaladas en el numeral 3.2 precedente, la Comisión utilizará la siguiente escala en la evaluación de las materias revisadas:
1 CUMPLIMIENTO: La entidad cumple integralmente con las mejores prácticas y aplicación de sanos principios que caracterizan una adecuada gestión. No existen deficiencias apreciables.
Capítulo 1-13
Hoja 22
2 CUMPLIMIENTO MATERIAL: La entidad cumple en forma significativa con las mejores prácticas y aplicación de sanos principios que caracterizan una adecuada gestión. Aun cuando se identifican algunas debilidades en procesos específicos de alguna función, ellas se pueden considerar acotadas, sin perjuicio de lo cual su corrección debe ser atendida por la entidad a objeto de alcanzar los más altos estándares de gestión de riesgos.
3 CUMPLIMIENTO INSATISFACTORIO: La entidad no cumple en forma razonable con las mejores prácticas y aplicación de sanos principios que caracterizan una adecuada gestión. Se identifican debilidades en los procesos que componen diversas funciones, entre las que se encuentran algunas relevantes. La corrección de estas debilidades debe ser efectuada con la mayor prontitud.
4 INCUMPLIMIENTO: La entidad incumple materialmente con las mejores prácticas y aplicación de sanos principios que caracterizan una adecuada gestión. La solución de sus debilidades se considera indis-pensable.
Como se comprenderá, las diversas circunstancias que podrían incidir en una clasificación desfavorable de las materias auditadas no son susceptibles de traducirse en situaciones hipotéticas que caractericen el tipo y gravedad de deficiencias probables.
Desde la perspectiva de la gestión global de un banco, las debilidades que pudiere presentar en las materias que se han mencionado pueden reflejar indirectamente debilidades en la cultura de riesgo de la institución evaluada. Aun cuando este último aspecto no se califica ni forma parte del fundamento de la clasificación, deberá ser tenido en cuenta por los propios bancos evaluados, como el elemento que determina, en definitiva, la calidad de su gestión.
Conviene tener en cuenta que aquellas materias relacionadas con la capacidad para enfrentar escenarios de contingencia y la relacionada con el control interno, si bien no son sujeto de calificación individual, dependiendo de la magnitud de las debilidades podrán afectar la clasificación final de la gestión del banco.
5. Evaluación de la gestión por la propia empresa.
Sin perjuicio de las revisiones que, de acuerdo a lo establecido en este Capítulo, realice esta Comisión, la administración del propio banco deberá analizar y pronunciarse, a lo menos una vez al año, acerca del desarrollo de su gestión.
El Directorio deberá conocer y pronunciarse sobre cada una de las materias señaladas en el numeral 3.2 de este título, lo que no excluye que considere e incluya igualmente otros aspectos relacionados con la gestión de la empresa.
Capítulo 1-13
Hoja 23
En el caso de las sucursales de bancos extranjeros, cuya gestión dependa de directivas de su Casa Matriz, el Gerente General o la autoridad máxima de la oficina en Chile, remitirá el resultado de la mencionada evaluación así como las eventuales medidas que proponga, a los auditores internos del banco y a la autoridad jerárquica que corresponda. Los acuerdos que al respecto adopten las mencionadas autoridades serán comunicados a la sucursal en Chile, la que deberá darlos a conocer a esta Comisión.
Los bancos enviarán a este Organismo una copia del informe presentado al Directorio, junto con la copia del acta de la reunión en que éste tomó conocimiento y resolvió acerca de la gestión de la empresa, antes del 30 de septiembre de cada año. Para ese efecto, el informe se anexará, también en formato PDF "desprotegido", al acta que debe enviarse a través de la Extranet de esta Comisión según lo indicado en el Capítulo 1-4 de esta Recopilación. Al tratarse de una reunión celebrada en el mes de septiembre, el plazo antes indicado podrá extenderse al establecido para el envío del acta respectiva.
Las sucursales de bancos extranjeros entregarán a esta Comisión, antes del 30 de septiembre de cada año, la copia de la comunicación y de los antecedentes que sobre la materia haya informado el encargado de la sucursal en Chile, según lo indicado anteriormente y las resoluciones que al respecto haya acordado la Casa Matriz.
Capítulo 20-10
Hoja 1
CAPÍTULO 20-10
GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN Y CIBERSEGURIDAD
1. Ámbito de aplicación
El presente Capítulo contiene disposiciones, basadas en buenas prácticas, que deben ser consideradas como lineamientos mínimos a cumplir por las entidades para la gestión de la seguridad de la información y ciberseguridad. Se entenderá por seguridad de la información, el conjunto de acciones para la preservación de la confidencialidad, integridad y disponibilidad de la información de la entidad. A su vez, la ciberseguridad comprende el conjunto de acciones para la protección de la información presente en el ciberespacio y de la infraestructura que la soporta, que tiene por objeto evitar o mitigar los efectos adversos de sus riesgos y amenazas inherentes, que puedan afectar la seguridad de la información y la continuidad del negocio de la institución.
Especial importancia toman los riesgos que amenazan la ciberseguridad, en un entorno creciente de conectividad y dependencia de los servicios otorgados a clientes a través de plataformas tecnológicas, lo que conlleva que las entidades, por una parte, deban asegurar la adecuada calidad y disponibilidad de los sistemas utilizados para la prestación de dichos servicios; y por otra, enfrenten una progresiva exposición a los riesgos especialmente cuando estos se asumen en el ciberespacio.
La debida adhesión a los lineamientos dispuestos en esta norma será parte de la evaluación de gestión que realiza este Organismo a los bancos en el ámbito de los riesgos operacionales, atendiendo al volumen y complejidad de sus operaciones. Cabe señalar además, que este Capítulo complementa lo señalado en distintas normativas de la Comisión, como son aquellas establecidas en la letra c) del numeral 3.2 del Título II del Capítulo 1-13 de la Recopilación Actualizada de Normas (en adelante RAN) sobre la evaluación de gestión del riesgo operacional; el Capítulo 20-7 en lo que se refiere a los riesgos que las entidades asumen en la externalización de servicios; el Capítulo 20-8 sobre información de incidentes operacionales; y el Capítulo 20-9 sobre gestión de la continuidad del negocio.
En el Anexo adjunto se incluyen definiciones de los conceptos utilizados en la presente normativa.
2. Elementos generales de gestión
En la evaluación de la gestión de la seguridad de la información y ciberseguridad que realiza este Organismo, un elemento fundamental corresponde al rol del Directorio, en lo relativo a la aprobación de la estrategia institucional en esta materia y la autorización de los recursos presupuestarios suficientes para mitigar los riesgos asociados. Es responsabilidad de esta instancia asegurar que la entidad mantenga un sistema de gestión de la seguridad de la información y ciberseguridad, que contemple la administración específica de estos riesgos en consideración a las mejores prácticas internacionales existentes, el que debe ser concordante con el volumen y complejidad de las operaciones de la entidad.
Capítulo 20-10
Hoja 2
En ese sentido, serán considerados como elementos necesarios para un adecuado sistema de gestión aspectos tales como:
- El Directorio, o quien haga sus veces, ha definido una estructura organizacional con personal especializado y dedicado, e instancias colegiadas de alto nivel jerárquico, con atribuciones y competencias necesarias para gestionar la seguridad de la información y ciberseguridad, procurando una adecuada segregación funcional entre las diferentes áreas e instancias encargadas de estas materias, con roles y responsabilidades claramente establecidos para cada una de ellas.
- Dentro de la estructura organizacional definida se ha dispuesto una función de riesgo, independiente de las áreas generadoras de riesgos, encargada del diseño y mantención de un adecuado sistema de identificación, seguimiento, control y mitigación de los riesgos de seguridad de la información y ciberseguridad. Además, debe ser parte de esta estructura organizacional la función de un oficial de seguridad de la información y ciberseguridad a cargo de estas materias.
- El Directorio ha dispuesto una estructura de alto nivel para la administración de crisis, con atribuciones administrativas reales, jurídicamente delegadas por el Directorio para conocer y administrar los incidentes de seguridad y ciberseguridad de alto impacto que afecten o pudieran afectar los activos de información, propios o los de sus clientes. Como parte de sus funciones, esta estructura debe definir un plan de actuación frente a este tipo de eventos y mantener canales de comunicación adecuados para informar oportunamente de estos incidentes a las autoridades y a las partes interesadas, ya sean internas o externas a la institución.
- El Directorio ha aprobado políticas para la gestión de los riesgos de seguridad de la información y ciberseguridad que definan al menos, el alcance y los objetivos de la entidad respecto de estas materias; el nivel de tolerancia al riesgo en específico para cada una de ellas; una clara definición de los activos de información a resguardar; criterios para clasificar la información y la existencia de un inventario de activos de información permanentemente actualizado, consistente con el mapa de procesos de la entidad. Estas políticas deben ser ampliamente difundidas al interior de la organización, revisadas y aprobadas al menos anualmente por esta instancia.
- El Directorio, como parte del nivel de tolerancia definido, ha aprobado los niveles de disponibilidad mínimos que espera asegurar en los servicios otorgados a través de plataformas tecnológicas, a fin de otorgar una adecuada prestación de servicios a los clientes.
- El Directorio se asegura de informarse periódica y adecuadamente respecto de los riesgos a que está expuesta la entidad en términos de seguridad de la información y ciberseguridad, así como del cumplimiento de sus políticas e incidentes de seguridad de la información y ciberseguridad, con el fin de mejorar su gestión y prevención.
- El Directorio ha aprobado políticas de conducta interna, de manera que todos los empleados y/o personas externas que presten servicios a la entidad utilicen de manera responsable las tecnologías de la información y comunicación puestas a su disposición.
Capítulo 20-10
Hoja 3
- La entidad promueve una cultura de riesgos en materia de seguridad de la información y ciberseguridad. Esto a través de planes formales de difusión, capacitación y concientización a todos los empleados, los que deben estar en concordancia con las funciones desempeñadas, considerando una periodicidad establecida y oportuna. En el caso de las externalizaciones, la entidad debe asegurarse que el personal asignado adhiera a las políticas establecidas en este ámbito de la institución contratante.
- Los activos de información de la entidad cuentan con un adecuado resguardo en términos de la seguridad física y ambiental, como por ejemplo: la protección de las áreas sensibles de negocios, operativas y dependencias técnicas, dentro de las que se encuentran los centros de datos, fuentes de energía alternativa y respaldos de datos y aplicativos.
- La entidad, como parte de la gestión de sus servicios críticos externalizados, ha implantado un proceso de verificación periódica de la aplicación y cumplimiento de sus políticas de seguridad de la información y ciberseguridad, de manera de garantizar la adecuada protección de los activos de información que son utilizados o administrados por proveedores externos. Asimismo, monitorea permanentemente la infraestructura conectada con proveedores externos, y analiza e implementa medidas para detectar y mitigar potenciales amenazas a la ciberseguridad de la entidad.
- La entidad se asegura de evaluar oportunamente los riesgos asociados a la seguridad de la información y ciberseguridad que se podrían estar asumiendo al introducir nuevos productos, sistemas, emprender nuevas actividades y/o definir nuevos procesos.
- La entidad realiza inversiones en tecnologías de procesamiento y seguridad de la información y ciberseguridad, que responden a una estrategia definida para estos efectos, que permiten mitigar los riesgos operacionales y tecnológicos y que son concordantes con el volumen y complejidad de las actividades y operaciones que realiza.
- La entidad gestiona sus alertas o amenazas e incidentes de seguridad de la información y ciberseguridad, con el fin de detectar, investigar y generar acciones de mitigación de impacto de estos eventos, y resguardar la confidencialidad, disponibilidad e integridad de sus activos de información.
- El proceso de gestión de la seguridad de la información y ciberseguridad implementado por la entidad asegura el cumplimiento de las leyes y normativas vigentes, entre las que se encuentran, por ejemplo, la protección de los datos de carácter personal y los derechos de propiedad intelectual. Este aspecto deberá también ser exigido a sus proveedores que utilicen sus plataformas.
- La entidad realiza auditorías al proceso de gestión de la seguridad de la información y ciberseguridad, con la profundidad y alcance necesario, que considere aspectos tales como el cumplimiento de las políticas y la eficacia de los procedimientos y controles definidos en estas materias.
Capítulo 20-10
Hoja 4
3. Proceso de gestión de riesgos de seguridad de la información y ciberseguridad
La implementación de un apropiado proceso de gestión de los riesgos es fundamental para apoyar el sistema de seguridad de la información y ciberseguridad instaurado por la entidad. Para ello este proceso debe considerar, al menos, la identificación, el análisis, la valoración, el tratamiento y la aceptación o tolerancia de los riesgos a que están expuestos los activos de información de la entidad, así como su monitoreo y revisión permanente.
En línea con lo anterior, se deben considerar al menos los siguientes aspectos:
- Identificación de sus activos de acuerdo con la definición y alcance contenido en la política de seguridad de la información y ciberseguridad. El nivel de detalle utilizado en la identificación y caracterización del activo debe ser suficiente para la adecuada gestión de los riesgos asociados, considerando, por ejemplo, su ubicación física y función, entre otros aspectos.
- Identificación de las amenazas que puedan dañar los activos de información, así como de sus vulnerabilidades, con relación a las amenazas conocidas y los controles existentes. La identificación de amenazas y vulnerabilidades se refuerza con información obtenida de diferentes fuentes, tanto internas como externas.
- Evaluación de los controles existentes de manera de conocer su efectividad y suficiencia.
- Identificación de las consecuencias que puedan tener en los activos de información las pérdidas de confidencialidad, integridad y disponibilidad.
- La entidad realiza un proceso de análisis de riesgo, que considera elementos como la evaluación de la probabilidad de ocurrencia de incidentes y su consecuencia o impacto en los activos de información, en base al grado de daño o costos causados por un evento de seguridad de la información y de ciberseguridad, determinando así su nivel de riesgo.
- La entidad efectúa un proceso de valoración del riesgo, entendido como una actividad donde se compara el nivel de riesgo determinado previamente contra los criterios de valoración y de tolerancia, previamente definidos.
- La entidad elabora un plan de tratamiento del riesgo, entendido como una actividad donde los riesgos priorizados en la etapa de valoración, permiten establecer los controles para reducir, aceptar, evitar o transferir los riesgos.
- La entidad lleva a cabo un proceso formal tendiente a asegurar que los riesgos resultantes sean concordantes con la tolerancia a los riesgos definida.
- La entidad lleva a cabo un proceso formal tendiente a comunicar los riesgos a la organización.
- La entidad revisa con al menos una periodicidad anual, su proceso de gestión de riesgos de seguridad de la información y ciberseguridad, de manera de identificar oportunamente la necesidad de efectuar ajustes en las metodologías y/o herramientas utilizadas.
Capítulo 20-10
Hoja 5
4. Elementos particulares a considerar para la gestión de la ciberseguridad
Si bien el diseño, implementación y mantención del proceso de gestión de riesgos de seguridad de la información y ciberseguridad establecido en el Título II de este Capítulo proporciona directrices para la gestión de los riesgos, dada la relevancia de los riesgos cibernéticos, las entidades deben realizar una especial diligencia para gestionarlos.
Un elemento esencial de este proceso de diligencia es la determinación de los activos críticos de ciberseguridad, esto es, aquellos activos de información lógicos que son considerados críticos para el funcionamiento del negocio, incluidos los componentes físicos tales como hardware y sistemas tecnológicos que almacenan, administran y soportan estos activos, los que de no operar adecuadamente, exponen a la entidad a riesgos que afecten la confidencialidad, integridad y disponibilidad de la información.
Un segundo elemento, se refiere a las funciones de protección de estos activos, la detección de las amenazas y vulnerabilidades, la respuesta ante incidentes y la recuperación de la operación normal de la entidad. Para gestionar estas etapas se deben considerar aspectos tales como:
4.1 Protección de los activos críticos de ciberseguridad y detección de amenazas y vulnerabilidades
- La institución cuenta con un inventario de activos de ciberseguridad críticos clasificados desde una perspectiva de confidencialidad, integridad y disponibilidad.
- La entidad cuenta con un proceso de gestión del cambio que permite que las modificaciones realizadas a la infraestructura de Tecnologías de la Información (TI) sean efectuadas de manera segura y controlada, y que los cambios realizados son controlados y monitoreados.
- La entidad cuenta con un apropiado proceso de gestión de capacidades, que le permite asegurar que la infraestructura TI cubre las necesidades presentes y futuras, considerando el volumen y complejidad de las operaciones de la entidad.
- La entidad cuenta con un proceso de gestión de la obsolescencia tecnológica que le permite mantener una infraestructura TI con estándares de desempeño de seguridad apropiados a los objetivos y necesidades de la entidad.
- La entidad cuenta con un proceso de gestión de configuraciones que permite asegurar adecuados controles a los elementos configurables de la infraestructura TI; y su acceso es controlado y monitoreado.
- La entidad ha implementado un programa de gestión de parches para asegurar que éstos sean aplicados tanto al software como al firmware de manera oportuna.
Capítulo 20-10
Hoja 6
- Las redes informáticas se encuentran adecuadamente protegidas de ataques provenientes de Internet o de otras redes externas, a través de la implementación de herramientas que se complementan, tales como: firewalls, firewalls de aplicaciones web (WAF), sistemas de prevención de intrusos (IPS), sistemas de prevención de pérdida de datos (DLP), sistemas anti-denegación de servicios, filtrado de correo electrónico, antivirus y anti-malware.
- Las redes informáticas se encuentran segmentadas de manera de implementar controles diferenciados, considerando aspectos como grupos de usuarios, tráfico de datos encriptado, tipo de servicios y sistemas de información, a fin de proteger las comunicaciones y los activos críticos de ciberseguridad, así como aislar la propagación de los efectos adversos que podrían derivarse de ciberataques a la infraestructura tecnológica.
- La segmentación de redes alcanza los diferentes ambientes dispuestos por la entidad, entre los que se encuentran aquellos de desarrollo, de pruebas y de producción.
- Los controles establecidos permiten proteger, detectar y contener ataques a la infraestructura TI realizados a través del uso de códigos maliciosos.
- Los controles establecidos permiten mitigar los riesgos derivados del uso de dispositivos móviles y del trabajo a distancia realizado por personal interno o externo; así como también los dispositivos IoT (Internet de las Cosas por sus siglas en inglés).
- Los controles establecidos mitigan los riesgos derivados de la adquisición, integración o desarrollo de aplicativos y sistemas, así como su puesta en producción.
- La gestión de identidades y de acceso físico y lógico contempla adecuados controles para resguardar las áreas de acceso restringido, los privilegios otorgados a los usuarios de los sistemas, los derechos de accesos a los servicios de red, a los sistemas operativos, a las bases de datos y a las aplicaciones de negocios, entre otros aspectos.
- La entidad cuenta con adecuadas herramientas para controlar, registrar y monitorear las actividades realizadas por los usuarios en general sobre los activos críticos, así como de aquellos con privilegios especiales.
- Los canales electrónicos dispuestos por la entidad, con los que interactúan los clientes y usuarios, cuentan con apropiados mecanismos de control de accesos, de manera de mitigar, entre otros, los riesgos de suplantación o uso indebido por parte de terceros, de los productos y servicios puestos a su disposición.
- La entidad ha dispuesto normas y procedimientos que establecen la información que requiere ser protegida a través de técnicas de cifrado, así como los algoritmos criptográficos permitidos o autorizados, controles que se utilizan tanto para la transmisión como para el almacenamiento de la información, en orden de proteger su confidencialidad e integridad.
- La entidad ha implementado adecuados resguardos para la conservación, transmisión y eliminación de la información, en conformidad con lo establecido en las políticas internas y la legislación vigente.
Capítulo 20-10
Hoja 7
- La entidad ha dispuesto herramientas de monitoreo continuo que le permitan en forma proactiva identificar, recolectar y analizar información interna y externa respecto de nuevas amenazas y vulnerabilidades que puedan afectar sus activos de ciberseguridad.
- La entidad cuenta con un proceso de administración de respaldos que le permite asegurar la integridad y la disponibilidad de su información y de sus medios de procesamiento, ante la ocurrencia de un incidente o desastre, el que debe ser concordante con el análisis de los riesgos para la gestión de la continuidad del negocio. Los respaldos de la información se debiesen generar, mantener y utilizar en ambientes libres de códigos maliciosos, y adecuadamente controlados. A su vez, la entidad realiza al menos anualmente pruebas de restauración de sus respaldos, con el fin de verificar que la información crítica puede ser recuperada en caso de que los datos originales se pierdan o se dañen.
- La entidad evalúa mecanismos de cobertura destinados a cubrir los costos asociados a eventuales ataques cibernéticos.
- La entidad cuenta con un Security Operation Center (SOC), propio o a través de un servicio externo, que opera las 24 horas del día, con instalaciones, herramientas tecnológicas, procesos y personal dedicado y entrenado, a fin de prevenir, detectar, evaluar y responder a amenazas e incidentes de ciberseguridad.
- La entidad identifica y evalúa regularmente los vectores de ataque a los cuales pudiera estar expuesta su infraestructura tecnológica, como por ejemplo la manipulación o interceptación de las comunicaciones, phishing, malware, elevación de privilegios, inyección de código, denegación de servicios, ingeniería social, etc.; distinguiendo claramente entre aquellos que pueden afectar la infraestructura física, la infraestructura lógica o el equipamiento de usuarios finales (endpoint).
- La entidad realiza en forma regular, con el suficiente alcance y profundidad, pruebas de seguridad a su infraestructura tecnológica para detectar las amenazas y vulnerabilidades que pudieran existir, tales como pentesting y/o ethical hacking. Sus resultados son gestionados por las respectivas áreas, según sus responsabilidades, y comunicados al Directorio, al menos semestralmente, quedando evidencia en las actas de los análisis y acuerdos adoptados de las acciones a seguir.
4.2 Respuesta y recuperación de las actividades ante incidentes
- La entidad prueba, al menos anualmente, los planes necesarios para enfrentar adecuadamente los escenarios que puedan afectar la ciberseguridad, así como los equipos para dar respuesta a los ciberincidentes que se pudieran materializar. Estos planes son actualizados cada vez que se registran cambios o se materialicen eventos que amenacen la ciberseguridad.
- La entidad cuenta con un plan definido de actuación, que dependiendo de la severidad de un incidente de ciberseguridad permite escalar la situación a la alta administración para la toma de decisiones.
- La entidad cuenta con un plan de comunicaciones, liderado por la alta administración, que opera ante incidentes de ciberseguridad de alto impacto, el cual alcanza a todas las partes interesadas, ya sea internas o externas, a fin de mantenerlas adecuadamente informadas.
Capítulo 20-10
Hoja 8
- La entidad efectúa un proceso independiente de análisis forense para los ciberincidentes relevantes, que incluya al menos las etapas de identificación, recopilación, adquisición, examen y análisis de evidencias digitales, junto con la generación de documentación e informes de la investigación forense, interpretación de evidencia digital y las conclusiones del trabajo realizado; además de los requerimientos necesarios para custodiar adecuadamente las evidencias generadas.
- La entidad cuenta con una base de incidentes de ciberseguridad de los activos de información presentes en el ciberespacio suficientemente detallada que le permita perfeccionar la capacidad de respuesta de estos.
- La entidad considera la base de incidentes como un insumo para la realización de pruebas que permitan detectar las amenazas y vulnerabilidades que pudieran existir sobre su sistema de gestión de seguridad de la información y ciberseguridad.
- La entidad cuenta con una base de conocimientos y lecciones aprendidas, con el objeto de disminuir los tiempos de respuesta cuando se repita un incidente igual o similar; identificar posibles mejoras en los procesos; facilitar el intercambio de conocimientos; y disponer de información que permita apoyar la toma de decisiones en caso de materializarse nuevos incidentes.
- La entidad realiza autoevaluaciones en esta materia, al menos anualmente, para determinar el grado de cumplimiento con las políticas internas, normativa regulatoria y la adherencia a las mejores prácticas en ciberseguridad, de manera de determinar las vulnerabilidades de su infraestructura y tomar las acciones para su mitigación, así como para prever la adopción oportuna de medidas ante escenarios de amenazas de ciberseguridad.
5. Gestión de la infraestructura crítica de ciberseguridad del país
La entidad como componente de la industria financiera y del sistema de pagos, se convierte en un actor relevante de la infraestructura critica del país, la que de acuerdo con la definición establecida por la Política Nacional de Ciberseguridad "comprende las instalaciones, redes, servicios y equipos físicos y de tecnología de la información cuya afectación, degradación, interrupción o destrucción pueden tener una repercusión importante en la seguridad, la salud, el bienestar de los ciudadanos y el efectivo funcionamiento del Estado y del sector privado".
En este sentido resulta importante que las entidades cuenten con políticas y procedimientos para la identificación de aquellos activos que componen la infraestructura critica de la industria financiera y del sistema de pagos, así como para el adecuado intercambio de información técnica de incidentes que afecten o pudieran afectar la ciberseguridad de la entidad, con otros integrantes que son parte de esta infraestructura crítica, cuidando siempre de cumplir con las exigencias legales de secreto y reserva legal, y de confidencialidad de la información personal de los clientes. Considerando lo anterior, a fin de detectar y gestionar las amenazas y vulnerabilidades que pudieran afectar el funcionamiento del sistema financiero, las distintas entidades deben procurar la realización de pruebas conjuntas de determinados escenarios de riesgo.
Capítulo 20-10
Hoja 9
6. Vigencia
Las instrucciones establecidas en la presente Norma de Carácter General regirán a contar del 1 de diciembre de 2020.
CAPITULO 20-10
Anexo - Hoja 1
Anexo: Definiciones de conceptos
- Activo de información: Componente, recurso o bien económico que sustenta uno o más procesos de negocio de una entidad. Los activos de las entidades varían de acuerdo con la naturaleza de la actividad desarrollada, los que pueden ser primarios como la información (física y lógica) y los procesos y actividades de negocio, o de soporte como hardware; software; redes de comunicación; personal; entre otros.
- Amenaza: Cualquier circunstancia o evento que puede explotar, intencionadamente o no, una vulnerabilidad específica en un sistema u otro tipo de activo, resultando en una pérdida de confidencialidad, integridad o disponibilidad de la información manejada o de la integridad o disponibilidad del propio sistema o activo.
- Ciberespacio: Entorno virtual donde se agrupan y relacionan usuarios, líneas de comunicación, páginas web, foros, servicios de Internet y otras redes.
- Ciberincidentes: Acción desarrollada a través del uso de redes de computadores u otros medios, que se traducen en un efecto real o potencialmente adverso sobre un sistema de información y/o la información que trata o los servicios que presta.
- Criterios de impacto del riesgo: Se refiere al perjuicio o costos a la entidad causados por un evento de seguridad de la información, considerando aspectos tales como el nivel de clasificación del activo afectado; los incumplimientos de seguridad de la información (pérdida de confidencialidad, integridad y disponibilidad); o incumplimientos de requisitos legales, regulatorios o contractuales.
- Criterios de valoración del riesgo: Valor que tienen para la entidad, los activos de información, considerando aspectos tales como el valor estratégico del proceso de información del negocio; la criticidad de los activos; la importancia operacional del negocio en términos de su disponibilidad, confidencialidad e integridad; y el cumplimiento de requisitos legales y regulatorios.
- Denegación de servicios (DoS): Un ataque de denegación de servicio (Denial of Service) es aquel que tiene como objetivo degradar la calidad de servicio de un sistema o una red llegando a dejarlo en un estado no operativo o inaccesible.
- Elevación de privilegios: Acto de explotación de un error, fallo de diseño o configuración de una aplicación, dentro de un sistema operativo o aplicación, para conseguir acceso a recursos del sistema que normalmente están protegidos frente a una aplicación o usuario.
CAPITULO 20-10
Anexo - Hoja 2
- Ethical hacking: Utilización de técnicas de ataque para encontrar fallas de seguridad, con el permiso de la organización que es objeto de estos ataques, con el propósito de mejorar la seguridad.
- Información: Cualquier forma de registro o dato físico, electrónico, óptico, magnético o en otros medios similares, susceptible de ser procesado, distribuido y almacenado.
- Incidente de seguridad de la información: Acceso, intento de acceso, uso, divulgación, modificación o destrucción no autorizada de información; un impedimento en la operación normal de las redes, sistemas o recursos informáticos; o una violación a la política de seguridad de la información de la entidad.
- Manipulación de las comunicaciones: Se basa principalmente en la captura de tráfico, inyección de paquetes, tramas, modificación de la información, entre otros.
- Pentesting: Acción constituida por un conjunto de pruebas que se basan en ataques hacia los sistemas informáticos con la intención de encontrar sus debilidades o vulnerabilidades.
- Security Operation Center (SOC): Área de seguridad informática, interna o externa, que es responsable de prevenir, monitorear y controlar la seguridad en las diferentes redes y en Internet, con el objetivo de contar con una capacidad de respuesta proactiva, efectiva y eficiente a incidentes de seguridad.
- Sistema de Gestión de Seguridad de la Información: Se refiere a la estructura organizacional, políticas, responsabilidades, procedimientos, recursos y procesos dispuestos por la entidad para establecer, implementar, operar, monitorear, revisar y mejorar la seguridad de la información.
- Vector de ataque: Ruta o camino que utiliza un atacante para tener acceso al activo objetivo de ataque, incluyendo las actividades y herramientas que el atacante emplea para materializar la amenaza.
- Vulnerabilidad: Cualquier debilidad de un activo o control que puede ser explotada por una o más amenazas.