NCG N° 529 de 2024

1 REF: FIJA TEXTO REFUNDIDO DE LA NCG N° 529 Y NUEVA VIGENCIA NORMATIVA ________________________________ NORMA DE CARÁCTER GENERAL N° 529 15 de enero de 2025 Esta Comisión en uso de las atribuciones conferidas en el Decreto Ley N°3.538, la Ley N°18.045, la Ley N°19.220 y Ley N°21.521; y teniendo en consideración que su mandato legal es velar por el correcto funcionamiento, desarrollo y estabilidad del mercado financiero, ha resuelto modificar la Norma de Carácter General N°510, que imparte instrucciones sobre gestión de riesgo operacional, en los siguientes términos. 1. Reemplácese el encabezado de la norma por el siguiente párrafo “Esta Comisión en uso de las atribuciones conferidas en el Decreto Ley N°3.538, la Ley N°18.045, la Ley N°18.876, la Ley N°19.220, la Ley N°20.345, el artículo 1° de la Ley N°20.712 y Ley N°21.521; y teniendo en consideración que su mandato legal es velar por el correcto funcionamiento, desarrollo y estabilidad del mercado financiero, ha estimado pertinente impartir las siguientes instrucciones respecto de la gestión de riesgo operacional para Administradoras Generales de Fondos, Bolsas de Valores, Bolsas de Productos, Intermediarios de Valores, Corredores de Bolsas de Productos, Sociedades Administradoras de Sistemas de Compensación y Liquidación de Instrumentos Financieros y Entidades de Depósito y Custodia de Valores.” 2. Reemplácese el título de la sección A.2.1. por “Intermediarios de Valores, Corredores de Bolsas de Productos y Administradoras Generales de Fondos”. 3. Reemplácese el numeral 1.1. de la sección B.1. por “Procedimientos de respuesta ante la ocurrencia de eventos internos o externos que pudieran crear una interrupción en la continuidad de las operaciones del negocio. Estos procedimientos se deberán referir expresamente a la ejecución de un análisis de impacto de negocio (BIA, por su sigla en inglés) y un Análisis de Impacto de Riesgo (RIA, por su sigla en inglés). Se exceptúan de la disposición mencionada las entidades de los bloques 1 y 2 definidas en la Normativa de Gobierno Corporativo y Gestión de Riesgos de Intermediarios de Valores y Corredores de Bolsas de Productos, sin perjuicio de lo cual esta Comisión podrá exigir a dichas entidades la realización de un BIA y un RIA u otro procedimiento similar, en función de la medición de la calidad de la gestión de riesgos que realice.” 4. Reemplácese el encabezado del numeral 2 de la sección B.2. por “Realizar o actualizar, al menos anualmente o ante eventos que amenacen la continuidad de las operaciones del negocio, un análisis de los procesos de mayor relevancia para la continuidad de negocio, el impacto que tendría una interrupción de esos procesos, y los tiempos y recursos necesarios para la continuidad y recuperación de éstos. Con excepción de las entidades de los bloques 2 1 y 2 definidas en la Normativa de Gobierno Corporativo y Gestión de Riesgos de Intermediarios de Valores y Corredores de Bolsas de Productos, este análisis se deberá referir expresamente a la realización de un BIA a nivel estratégico, táctico y operativo que considere:” 5. Reemplácese el numeral 4 de la sección B.2. por “Realizar o actualizar, al menos anualmente, una evaluación de los riesgos de continuidad de negocio que, de materializarse, provocarían una interrupción en los procesos de mayor relevancia de la entidad. Para lo anterior, se deberá considerar escenarios internos y externos, contemplando, entre otros, la falta total y parcial de los sistemas tecnológicos; ataques maliciosos que afecten la ciberseguridad; la ausencia de personal crítico; la imposibilidad de acceder o utilizar las instalaciones físicas y la falta de provisión de los servicios críticos contratados a proveedores.” 6. Reemplácese el numeral 5 de la sección B.2. por “Definir una estrategia de continuidad de negocio que tenga por objetivo mantener la continuidad de los procesos de mayor relevancia, considerando medidas preventivas para reducir la probabilidad de materialización de daños, minimizar el tiempo de recuperación y limitar el impacto en las operaciones del negocio de la entidad. Dicha estrategia deberá considerar, en caso de que se haya realizado un BIA y un RIA, los resultados de este análisis.” 7. Reemplácese el numeral 6 de la sección B.2. por “Implementar un Plan de gestión de crisis en el que se determine los procedimientos de escalamiento, comunicaciones, gestión y reporte de eventos de continuidad operacional para mantener informado en forma oportuna al directorio u órgano equivalente, a todas las partes interesadas y a esta Comisión, respecto de información relevante del evento de continuidad, las medidas adoptadas para resolverlo y la coordinación de una respuesta adecuada. En caso de que se haya realizado un BIA, la coordinación de una respuesta adecuada deberá considerar los puntos objetivos y tiempos objetivos de recuperación allí previstos.” 8. Reemplácese el primer párrafo del numeral 1 de la sección D.1. por “Las entidades deberán comunicar a esta Comisión los incidentes operacionales que afecten la continuidad del negocio, los recursos e información de la entidad o de sus clientes y la calidad de los servicios. A modo de ejemplo, y sin el objeto de ser exhaustivos ni taxativos, deberán ser reportadas las fallas en servicios y sistemas importantes para las operaciones del negocio; problemas tecnológicos que afecten la seguridad de la información; ataques del ciberespacio; virus o malware detectados en los activos de información críticos; eventos de indisponibilidad o interrupción de algún servicio o producto que afecte a los clientes, en cualquier canal; pérdidas o fugas de información de la entidad o de clientes; los incidentes que afecten el patrimonio de la entidad producto de fraudes internos o externos; problemas que afecten la continuidad de proveedores de servicios críticos; entre otros. Esta información deberá ser mantenida por la entidad en una base de datos de incidentes y otra base de datos de pérdidas operacionales para el mejoramiento continuo del proceso de gestión de riesgo operacional. Las entidades de los bloques 1 y 2 definidas en la Normativa de Gobierno Corporativo y Gestión de Riesgos de Intermediarios de Valores y Corredores de Bolsas de Productos deberán reportar sólo los incidentes relacionados con seguridad de la información y ciberseguridad, quedando exceptuadas de informar incidentes de otro tipo. 9. Reemplácese el primer párrafo del numeral 2 de la sección D.1 por “En el caso de las Bolsas de Valores, Bolsas de Productos, Sociedades Administradoras de Sistemas de Compensación 3 y Liquidación y Entidades de Depósito y Custodia de Valores, la ocurrencia de un incidente operacional de aquellos mencionados en el numeral anterior deberá ser informada a esta Comisión en un plazo máximo de 15 minutos transcurridos desde que la entidad tomó conocimiento del hecho. En el caso de los Intermediarios de Valores, Corredores de Bolsas de Productos y Administradoras Generales de Fondos, el plazo máximo será de 2 horas desde que la entidad tomó conocimiento del hecho. Las instrucciones para reportar los incidentes operacionales a esta Comisión se encuentran en los Anexos N°2 y 4 10. Reemplácese el numeral 2 de la sección D.2. por “Las entidades deberán enviar a esta Comisión la información de todas las pérdidas operacionales mayores a 150 Unidades de Fomento, de acuerdo con las instrucciones del Anexo N°3 de la presente norma, 15 días hábiles después del cierre de junio y diciembre de cada año. Se exceptúan de la disposición mencionada las entidades de los bloques 1 y 2 definidas en la Normativa de Gobierno Corporativo y Gestión de Riesgos de Intermediarios de Valores y corredores de Bolsa de Productos” 11. Reemplácese el “ANEXO N°2: REPORTE DE INCIDENTES OPERACIONALES” por el siguiente. “A través del menú “INCIDENTES Y PÉRDIDAS OPERACIONALES” del canal oficial de comunicación y envío de información entre la Comisión y sus fiscalizados, la entidad deberá reportar el detalle de cada incidente descrito en la sección I.D.1. Para aquellos campos en los que al momento del reporte no se cuente con la información, se debe indicar con texto “En evaluación", y para el caso de los campos numéricos, de no contarse con el dato, éstos deben completarse con un cero. Será responsabilidad de la entidad la actualización de los antecedentes mencionados cuando se disponga de nueva información y hasta el cierre del incidente (fecha de cierre del incidente). 1. FECHA Y HORA DEL INICIO DEL INCIDENTE: Se debe señalar la fecha (DD/MM/AAAA) y la hora (HH: MM: SS) en que comenzó el incidente. 2. TIPO DE INCIDENTE: En este campo se debe señalar el tipo de incidente, eligiendo entre las siguientes opciones:  Afectación de instalaciones  Ausencia de Colaboradores  Sin acceso dependencias y otras áreas específicas  Falla Sistemas Base (SO, BD)  Falla aplicativos (negocio, web, batch)  Falla de comunicaciones  Falla Hardware  Falla en servicios básicos (electricidad/agua)  Pérdida de Recursos Monetarios de la entidad o de clientes  Pérdida de Información de la entidad o de clientes  Interrupción / latencia en servicios otorgados en canales electrónicos  Error de envío de información de cuentas de clientes  Error en cobro de producto o servicios a clientes  Interrupción de servicios en canales físicos 4  Otros: especificar1 3. DESCRIPCIÓN DETALLADA DEL INCIDENTE: En este campo se debe detallar en qué consiste el incidente reportado. 4. CAUSA: En este campo se debe señalar la causa del incidente, eligiendo entre las siguientes opciones:  Inundación por causas naturales  Terremoto  Tsunami  Huelga  Pandemia  Incendio  Corte de energía  Corte de agua  Asalto a dependencias  Robo o hurto de activos físicos  Robo o hurto de activos digitales  Daño de infraestructura tecnológica  Daño de infraestructura de comunicaciones  Ataque denegación de servicio  Clonación  Ataque de virus maliciosos  Retraso / Errores en procesos operativos/tecnológicos  Otros: especificar2 5. Dependencias afectadas: En este campo se deben señalar las dependencias afectadas, eligiendo entre las siguientes opciones:  Casa Matriz  Sucursal  Caja Auxiliar  Sitio Producción  Sitio Contingencia  Dependencias proveedor  Otros: especificar3 1 En caso de utilizarse este campo, se deberá completar con texto la información, la cual debe dar cuenta del tipo de incidente. 2 En caso de utilizarse este campo, se deberá completar con texto la información, la cual debe dar cuenta de la ca usa del incidente 3 En caso de utilizarse este campo, se deberá completar con texto la información, la cual debe dar cuenta de las dependencias afectadas. 5 6. DIRECCIÓN DEPENDENCIAS AFECTADAS (CALLE, COMUNA, REGIÓN) En este campo se debe informar la dirección de la dependencia afectada, incluyendo la calle, la comuna de acuerdo a la Tabla N°65 del manual de sistema de información y la región de acuerdo a la Tabla N°2 del manual de sistema de información. Si existe más de una dependencia afectada, se debe indicar la dirección de cada una de ellas, separándolas con un punto y coma (;). 7. CANALES AFECTADOS En este campo se deben seleccionar los canales afectados por el incidente:  Sucursales  Página web  Aplicación móvil  Cajeros automáticos  Atención telefónica  POS  Otros: especificar4 8. NOMBRE DE PROVEEDORES INVOLUCRADOS: Corresponde al nombre o razón social del proveedor. 9. TIPO DE PROVEEDOR INVOLUCRADO:  SAG  Servicios básicos  Telecomunicaciones  Infraestructura tecnológica  Transporte de valores y custodia  Procesamiento  N/A5  Otros: especificar6 10. NÚMERO DE CLIENTES AFECTADOS: En este campo se debe completar el número de clientes que fueron afectados por el incidente que se reporta. 11. TIPO DE CLIENTES AFECTADOS: 4 En caso de utilizarse este campo, se deberá completar con texto la información, la cual debe dar cuenta de los canales afectados. 5 N/A, en todos los campos donde es utilizado, significa “No Aplica". 6 En caso de utilizarse este campo, se deberá completar con texto la información, la cual debe dar cuenta del tipo de proveedor afectado. 6  En este campo se debe seleccionar el tipo de cliente afectado, entre las siguientes opciones:  Personas  Empresas  Ambos  N/A 12. NÚMERO DE EMPLEADOS AFECTADOS: En este campo se debe completar con el número de empleados que fueron afectados por el incidente que se reporta. 13. PRODUCTOS O SERVICIOS AFECTADOS: En este campo se deben informar en detalle los productos y servicios afectados por el incidente. 14. NÚMERO DE TRANSACCIONES AFECTADAS: En este campo se debe completar el número de transacciones que fueron afectadas por el incidente que se reporta. 15. MEDIDAS ADOPTADAS: En este campo se deben informar en detalle las acciones realizadas por la entidad para superar el incidente. 16. NOMBRE Y CARGO DEL INFORMANTE: Corresponde a la persona que informa el incidente y su cargo. 17. TELÉFONO CELULAR DEL INFORMANTE: Se debe señalar en este campo el teléfono celular de la persona que informa el incidente. 18. FECHA Y HORA DE TÉRMINO DEL INCIDENTE: Este campo se incluirá cuando se cierra el incidente. Se debe completar la fecha (DD/MM/AAAA) y la hora (HH: MM: SS) en que éste finalizó. ” 12. Reemplácese el “ANEXO N°3: REPORTE DE PÉRDIDAS OPERACIONALES” por el siguiente. “ A través del menú “INCIDENTES Y PERDIDAS OPERACIONALES” del canal oficial de comunicación y envío de información entre la Comisión y sus fiscalizados, la entidad deberá reportar al último día hábil de junio y diciembre de cada año el detalle de todas las pérdidas operacionales mayores a 150 Unidades de Fomento. 1. FECHA Y HORA DE CONTABILIZACIÓN: 7 Seleccionar el día y hora correspondiente a la fecha en la que se contabiliza el incidente. Se debe completar la fecha (DD/MM/AAAA) y la hora (HH: MM: SS). 2. TIPO DE MONTO: Seleccionar el código que identifica el tipo de monto a reportar, de acuerdo a la siguiente codificación que se desplegará en este campo: CODIGO TIPO DE MONTO 1 Pérdida (cargos directos en los estados de resultados) 2 Gastos y provisiones (costos incurridos internos o externos con relación directa al evento operacional) 3 Recuperación 3. MONTO: Corresponde al monto bruto de las pérdidas, gastos o recuperaciones que deben reportarse en la fecha que se contabilicen. Dicho monto debe reportarse en pesos. 4. TIPO DE GASTO Seleccionar el código que identifica el principal tipo de gasto asociado al evento de pérdida, ya sea interno o externo directamente atribuible al evento operacional, de acuerdo a la siguiente codificación que se desplegará en este campo: CODIGO TIPO DE GASTO 1 Legales 2 Proveedores 3 Asesorías 4 Internos 5 Otros 9 No aplica (debe reportarse cuando el campo “TIPO DE MONTO” toma valores 1 o 3) 5. TIPO DE RECUPERACIÓN Seleccione el código asociado a las causas de la recuperación operacional, de acuerdo a la siguiente codificación que se desplegará en este campo: CODIGO TIPO DE RECUPERACIÓN 1 Compañías de seguros 2 Acciones judiciales 3 Otros (liberación de provisión) 4 No aplica 8 6. NOMBRE Y CARGO INFORMANTE Corresponde a la persona que informa el incidente y su cargo. 7. TELÉFONO CELULAR INFORMANTE: Corresponde al teléfono de la persona que informa el incidente. ” VIGENCIA Las instrucciones establecidas en la presente Norma de Carácter General rigen a contar del 1 de julio de 2025. SOLANGE MICHELLE BERNSTEIN JÁUREGUI PRESIDENTA COMISIÓN PARA EL MERCADO FINANCIERO