PCNBF11: Plan de Continuidad de Negocio de BN Fondos.

(1)

Rige a partir de: 05/04/2018 Actualizado en Sesión de Junta Directiva 312/02-2018 del 22 de Enero del 2018

No. de SC: 069-2018 Página 1 de 23

DOCUMENTO CONFIDENCIAL

PCNBF11: Plan de Continuidad de Negocio de BN Fondos.

Sistema de Gestión de Continuidad de Negocio

Edición 04, Enero 2018

(2)

(3)

DOCUMENTO CONFIDENCIAL Contenido

1. PRÓPOSITO Y ALCANCE ...4

2. DOCUMENTOS RELACIONADOS ...4

3. RESPONSABILIDAD ...5

4. DEFINICIONES ...6

5. POLÍTICA ...7

6. CONTENIDO ...7

6.1 Objetivos. ...7

6.2 Funciones y responsabilidades del personal involucrado. ...8

6.3 Subprocesos Críticos - RTO y RPO ...8

6.4 Invocación del plan. ... 10

6.5 Propietario y mantenimiento del plan. ... 14

6.6 Planes de acción y listas de tareas. ... 15

6.7 Procedimientos alternativos o de recuperación. ... 18

6.8 Requisitos de recursos. ... 19

6.9 Persona o personas responsables por proceso. ... 21

6.10 Plan de pruebas, mantenimiento y entrenamiento: ... 21

7. CONTROL DE LOS REGISTROS DEL SISTEMA ... 22

8. ANEXOS ... 23

(4)

DOCUMENTO CONFIDENCIAL 1. PRÓPOSITO Y ALCANCE

Este documento proporciona la planificación, los responsables y la orientación para que BN Fondos sea capaz de brindar la continuidad de los servicios críticos ante condiciones y amenazas existentes en un momento determinado. Si bien la gravedad de una emergencia no se puede predecir, por medio de este plan se busca minimizar el impacto de sus consecuencias en la operativa crítica, y en el personal de la Sociedad.

El propósito general de la planificación de la continuidad es brindar la continuidad de los procesos críticos esenciales. El entorno actual de las amenazas y emergencias, incluidos los actos de la naturaleza, accidentes y emergencias tecnológicas, han aumentado la necesidad de planes que permita a la organización continuar con sus funciones esenciales (procesos críticos) siempre que sea viable.

El propósito del Plan de Continuidad del Negocio es definir los responsables y los pasos a seguir en la activación de la continuidad de negocio parcial (en caso de interrupción de procesos aislados) o completa, para BN Fondos. Este documento responde al cumplimiento de la PO10CGGR02 Política de Continuidad de Negocio para el Conglomerado Banco Nacional de Costa Rica.

El alcance del plan corresponde a los procesos críticos definidos en el Análisis de Impacto en el Negocio con su respectivo objetivo de tiempo de recuperación (RTO) para BN Fondos.

Este documento sirve como guía para restablecer la operación de los procesos críticos a un nivel mínimo aceptable en caso de una crisis.

2. DOCUMENTOS RELACIONADOS

Código Nombre del Documento

ISO 22301:2015

Seguridad de la sociedad. Sistemas de Gestión de Continuidad de Negocio. Requisitos

PEBF11 Plan de emergencias

PO10GR02 Política de Continuidad de Negocio para el Conglomerado Banco Nacional de Costa Rica.

(5)

DOCUMENTO CONFIDENCIAL RG10GR02 Reglamento de Crisis de Continuidad del Negocio Conglomerado BNCR.

AN01- PR252GR02

Plan de Administración de Crisis Conglomerado

N/A Plan de Administración de Comunicaciones del Conglomerado BNCR.

3. RESPONSABILIDAD

3.1 Es responsabilidad de la Comisión de Crisis de Continuidad del Negocio del Conglomerado BNCR, declarar la crisis, tomar decisiones referente a las acciones.

3.2 Es responsabilidad del Comité Gerencial de BN Fondos evaluar el impacto del incidente e informarlo a la CCCN. Por lo general, ordena el inicio de acciones de contingencia. Este Comité debe coordinar las actividades de todos los equipos de recuperación y se encarga de la toma de decisiones clave, en lo relativo a la autorización de acciones y de gastos.

3.3 La persona Encargada de Continuidad de Negocio es la responsable de aplicar los lineamientos del presente documento al llevar a cabo las diferentes labores de control, supervisión y seguimiento según estructuración de este plan.

3.4 La Brigada de Emergencias de BN Fondos es la unidad encargada de tareas de prevención de riesgos y auxilio a la empresa en casos de emergencia, con el fin de evitar las pérdidas humanas y materiales, que puedan presentarse como consecuencia de cualquier tipo de suceso que afecte a las personas o institución. Es responsable de coordinar con los Cuerpos de Bomberos, Cruz Roja, Fuerza Pública, entre otros. Una de sus funciones principales es contar y mantener actualizado un Plan de Evacuación, con el fin de salvaguardar la vida e integridad física de los colaboradores y clientes ubicados en las instalaciones de BN Fondos. El Coordinador o Coordinadora de la Brigada es responsable de la Administración de los protocolos de emergencia.

3.5 La Jefatura Administrativa es la responsable de la coordinación con el ente que corresponda para el restablecimiento de los servicios básicos (agua, fluido eléctrico, etc) con el dueño del edificio para la revisión de la infraestructura. Además debe recopilar las necesidades de las diferentes áreas luego del evento, para efectuar las compras que sean requeridas de emergencia.

3.6 El Contador o Contadora General tiene a su cargo la ejecución oportuna de pagos en casos de compras de emergencia.

3.7 La Jefatura de Producción, el Administrador de la Base de Datos, el Jefe de Desarrollo de Sistemas y el Soportista de Redes, son responsables de brindar todo el apoyo y valoración

(6)

del área de hardware, software y telecomunicaciones. Este equipo toma decisiones sobre el área de tecnología, y lo hace únicamente en aquellos casos en donde los procedimientos así lo señalen.

4. DEFINICIONES

4.1 Análisis de Impacto de Negocio (BIA, por sus siglas en inglés): Proceso o análisis de funciones organizacionales y el efecto de una interrupción en ellas, definiendo actividades críticas, recursos y tiempos de recuperación.

4.2 Continuidad del Negocio: Capacidad de la organización de salvaguardar la vida humana, proteger la imagen corporativa y continuar entregando productos y servicios a niveles aceptables predefinidos después de un evento alterador.

4.3 Crisis: es un evento importante con un resultado potencialmente negativo que afectará a la organización, compañía o industria, así como a sus públicos, productos, servicios o su buen nombre. Este interrumpe las transacciones normales del negocio y puede algunas veces amenazar la existencia de la organización.

4.4 CCCN: Comisión de Crisis del Conglomerado BNCR, definida en el documento RG10- CGGR02 Reglamento de Crisis de Continuidad de Negocio del Conglomerado Financiero BNCR.

4.5 Evento alterador: Cambio en un conjunto de circunstancias que interrumpe la operativa normal en una empresa.

4.6 Objetivo de Punto de Recuperación (RPO, por sus siglas en inglés): Es el volumen de datos que el negocio está dispuesto a perder en caso de una interrupción y que las transacciones no se vean afectadas.

4.7 Plan de Continuidad de Negocio (PCN o BCP por sus siglas en inglés): Procedimientos documentados que guían a la organización a responder, recuperar, reanudar, restablecer operaciones a niveles predefinidos después de una alteración.

4.8 Plan de Recuperación ante desastres (DRP, por sus siglas en inglés): Proceso de recuperación que cubre los datos, el hardware y el software crítico, para que un negocio pueda comenzar de nuevo sus operaciones en caso de una interrupción no deseada o desastre.

4.9 Proceso: Conjunto de actividades interrelacionadas o interactivas que transforman insumos en resultados.

4.10 Pruebas: Procedimiento para evaluar, un medio de determinar la presencia, calidad o veracidad de algo.

(7)

4.11 Recursos: Todos los activos, personas, destrezas, información, tecnología y espacio físico, que se requieren para dar continuidad del servicio.

4.12 Sitio Alterno Operativo (SAO): Es el sitio alterno de operaciones que dispone BN Fondos para trasladar al personal crítico de negocio con el fin de darle continuidad a las operaciones en caso que el sitio principal de operaciones no esté disponible.

4.13 Sistema Core de Negocio: Es el sistema encargado de manejar la operativa propia y medular de BN Fondos.

4.14 Tiempo Objetivo de Recuperación (RTO, por sus siglas en inglés): El punto máximo en que la información utilizada para desempeñar una actividad debe ser recuperada para reanudar las operaciones. El tiempo máximo que la actividad puede estar detenida por debajo de los niveles mínimos de operación antes de la existencia de implicaciones graves para la compañía.

5. POLÍTICA 5.1 N/A.

6. CONTENIDO 6.1 Objetivos.

Recuperar las actividades críticas del negocio.

Brindar el servicio y productos a niveles aceptables.

Asegurar que el personal y los recursos necesarios estén preparados y disponibles.

Proveer una orientación e información adicional para ayudar a

facilitar el proceso de ejecución de las actividades críticas.

(8)

DOCUMENTO CONFIDENCIAL 6.2 Funciones y responsabilidades del personal involucrado.

Para el funcionamiento y aplicación de este plan, es necesario el involucramiento del personal que posea la autoridad para tomar decisiones en lo relativo a la autorización de acciones y de gastos, este grupo llamado CCCN actúa una vez que se declara una crisis, durante y después de un incidente o emergencia que afecte solo a BN Fondos y/o al Conglomerado.

Las responsabilidades, etapas de manejo de crisis, escalamientos de la CCCN están definidas en el RG10GR02 Reglamento de Crisis de Continuidad del Negocio del Conglomerado BNCR.

En el anexo AN02-PCNBF11 Detalle de Información de los Involucrados en Continuidad de Negocio, se presenta la información de los miembros de la CCCN, del Comité Gerencial, personal crítico de BN Fondos y Áreas de apoyo.

Para el caso de que el evento afecte a BN Fondos, el Gerente General debe ser convocado por la CCCN para efectos de colaboración conjunta en caso de ser necesario.

6.3 Procesos Críticos - RTO y RPO

En BN Fondos se han identificado dos procesos críticos que se detallan a continuación:

PROCESO CRÍTICO SUBPROCESO CRÍTICO

DEFINICIÓN

Comercialización de los Fondos de Inversión.

Atención de clientes Consiste en revisar las transacciones manuales, y atender sus eventuales inconsistencias.

Administración de los Fondos de Inversión

Transacciones Consiste en procesar las solicitudes de la clientela.

Genera insumos para el cierre contable de los Fondos de Inversión.

Ejecución de instrucciones Consiste en compilar las instrucciones en los formatos requeridos y enviarlas al custodio para su ejecución.

Gestión de Portafolios Se ejecuta para invertir los

(9)

DOCUMENTO CONFIDENCIAL PROCESO CRÍTICO SUBPROCESO

CRÍTICO

DEFINICIÓN

recursos de los clientes y de las clientas de BN Fondos, estructurando y administrando los portafolios que respaldan sus inversiones, de manera que se obtenga el máximo rendimiento posible con los niveles de riesgos preestablecidos, idealmente ajustados a los perfiles de cada uno de los inversionistas y las inversionistas.

Contabilidad de los Fondos Es una unidad

“concentradora de información” pero a su vez, una unidad “generadora”

de información, por cuanto primero la recibe mediante diversos canales de información para ser procesada y luego remite el resultado, siendo el parámetro más importante el Valor de Participación de los Fondos de Inversión.

Adicionalmente la contabilidad se encarga de generar y revisar las operaciones de los títulos valores, como son las compras, vencimientos, ventas, cartera de títulos y la valoración de títulos de los Fondos de Inversión.

Para cada subproceso crítico relacionado al proceso crítico se ha determinado que el Objetivo Punto de Recuperación (RPO) es que no se puede perder ningún dato y se ha definido un RTO cuyo detalle se encuentra en el AN01-PCNBF11 Tiempos Objetivos de Recuperación (RTO).

(10)

En el caso de la actividad de envío de información a la SUGEVAL, no es considerada crítica ya que la normativa vigente contempla prórrogas para caso fortuito, fuerza mayor u otras causas fuera del control de la entidad, por lo que en caso de que algún incidente impida la ejecución de la misma, se debe enviar una carta al regulador solicitando una prórroga según el AN09-PCNBF11 Formato de solicitud de prórroga para envío de información a la SUGEVAL.

6.4 Invocación del plan.

La activación del plan debe realizarse una vez que se tenga el conocimiento de la situación por parte de la CCCN y del Comité Gerencial de BN Fondos (esta activación puede darse fuera del horario laboral). Algunos criterios, sin ser una lista taxativa, para la activación del PCN o DRP son:

Tipo de problema Situación

Problemas con el personal

Ausencia o pérdida del personal necesario para la ejecución de los subprocesos críticos (secuestro, muerte, accidente o violencia).

Declaratoria de emergencia nacional.

Imposibilidad de acceso al edificio de Oficinas Centrales de BN Fondos (por huelgas, bloqueos o inundación).

Problemas de infraestructura

Deterioro o daño de la infraestructura física del edificio de Oficinas Centrales de BN Fondos luego de un evento natural (tormenta, sismo, incendio, entre otros) o provocado por el ser humano de forma accidental o intencionalmente.

Problemas en la infraestructura tecnológica

Caída nacional de los servicios de telecomunicaciones donde su recuperación por parte del proveedor sea mayor al RTO mínimo de los procesos críticos.

Caída que supere los RTO´s establecidos de las aplicaciones o servicios que soportan los procesos críticos y la atención al cliente de BN Fondos. Siempre y cuando los costos en contingencia superen a los costos esperados para solucionar la situación o que el nivel del riesgo sea superior al mínimo tolerable.

Faltante del fluido eléctrico superior al tiempo de operación estándar de las fuentes alternas (plantas eléctricas y UPS) de manera permanente causado por agentes externos o internos.

Fallas en los sistemas que soportan los procesos críticos y que estas

(11)

DOCUMENTO CONFIDENCIAL Tipo de problema Situación

puedan superar los RTO´s establecidos.

Problemas con los proveedores

No disponibilidad o fallas de los recursos o servicios (tecnológicos o de personal) adquiridos por parte de BN Fondos que sean necesarios para el soporte y la ejecución de los subprocesos críticos.

Otros problemas

El evento es considerado como emergencia nacional por parte de la Comisión Nacional de Emergencias (según Ley N°8488 en su artículo 29) y afecta directamente la Oficinal Principal de BN Fondos.

Materialización de los riesgos identificados en el Análisis de Riesgos de Continuidad de Negocio que detengan los subprocesos críticos.

El personal autorizado para la activación del plan es la CCCN (ver AN02-PCNBF11 Detalle de Información de los involucrados en Continuidad de Negocio). La CCCN sesiona en el piso 4 de la Gerencia General del BNCR si no hay afectación al edificio, o en Sala Crisis 1 (C.E.D de Heredia), o bien; Sala Crisis 2 (BN Valores).

Ante la ocurrencia de una interrupción es necesario tener claro cuáles documentos son activados a lo largo del proceso de restablecimiento y recuperación de las operaciones, en la siguiente gráfica se muestra en qué momento debe activarse cada plan (los documentos de Plan de Administración de Comunicaciones y AN01-PR252GR02 Plan de Administración de Crisis aplican para el conglomerado BNCR):

(12)

Figura 1. Activación de planes

Específicamente la CCCN realiza la toma de decisiones en los temas de continuidad y recuperación. Una vez que se declare la emergencia se activan los planes de PCN y DRP según el evento dado (cuadro resaltado en la figura 2). En la figura 2 se muestra el proceso de declaración del desastre ante una interrupción.

Tiempo RTO

Se completa la Recuperación de TI

Operación Normal RPO

Último Respaldo

Departamento de Sistemas y Tecnología

Plan de Emergencias Casa Matriz (si aplica)

Plan de Administración de Crisis

Plan de Administración de Comunicaciones

Plan de Continuidad de Negocio

Plan de Recuperación de Desastres

Interrupción Interrupción

(13)

Figura 2. Fases de la Administración de Crisis

En el caso de que el incidente tenga alguna afectación en las instalaciones, o servicios públicos, los encargados de gestionar las reparaciones o escalamientos se indican en al AN07-PCNBF11 Actividades de áreas de apoyo.

Ocurre la interrupción

El Comité Gerencial evalúa la situación

presentada

Se reúne la Comisión de Crisis

¿Se cumple algún criterio de invocación?

Resolución del problema y proceso

de escalamiento

¿Se logró restablecer la

operación?

No declarar Desastre

Declarar Desastre

Activación del PCN y DRP

Recuperación de los subprocesos críticos

Regreso a la operación normal NO

SI

NO

SI

(14)

DOCUMENTO CONFIDENCIAL 6.5 Propietario y mantenimiento del plan.

El propietario principal del Plan de Continuidad de Negocio de BN Fondos es el área de Gestión de Riesgos y Calidad, liderada por la Jefatura de Gestión de Riesgos y Calidad, este plan debe ser revisado anualmente como mínimo o en caso de que se considere necesario por la organización.

A continuación se muestran los roles que son parte del proceso de actualización y mantenimiento del plan (Documento PCN):

Puesto Responsabilidad

Jefatura de Gestión de Riesgos y Calidad

Verificar las actualizaciones y cambios de los documentos relacionados a este plan, incluido este PCN.

Modificar el PCN según los resultados del BIA, de pruebas y los cambios dados por los dueños de procesos críticos e informar a la Dirección de Gestión de Continuidad de Negocio del BNCR la actualización de documentos.

Gerencia de Sistemas y Tecnología

Comunicar los cambios dados por TI o por la implementación de estrategias de continuidad a la Jefatura de Gestión de Riesgos y Calidad.

Dueños de procesos críticos

Comunican a la Jefatura de Gestión de Riesgos y Calidad los cambios que se generen en sus planes de contingencia, así como todos los cambios de información del personal que esté involucrado con Continuidad de Negocio.

Dirección de Gestión de Continuidad de Negocio del BNCR

Coordinar las acciones para el mantenimiento y actualización periódica del Análisis de Impacto del Negocio a nivel corporativo.

Coordinar las acciones para la adecuada gestión de los riesgos de Continuidad de Negocio Corporativos.

Velar por la correcta implementación del proceso de Mantenimiento y Actualización del Plan de Continuidad de Negocio Corporativo.

El detalle de los dueños de cada proceso se visualiza en el AN02-PCNBF11 Detalle de Información de los Involucrados en Continuidad de Negocio.

Todas las modificaciones realizadas a este plan, deben ser aprobadas por el Gerente General de BN Fondos y se deben enviar para conocimiento ante la Junta Directiva de BN Fondos.

(15)

Dicha actualización y el detalle de los cambios debe ser notificada formalmente a las partes interesadas que se consideren necesarias posterior a la aprobación.

Cambios en RTO y RPO se aplicarán con el protocolo anterior, no obstante no implicaran necesariamente la actualización de todo el documento.

6.6 Planes de acción y listas de tareas.

Se deben tomar en cuenta diferentes factores en el momento de aplicar los pasos a seguir del plan, estos factores son:

 La invocación del plan: se describe en el punto 6.4 Invocación del Plan. Las personas autorizadas para la activación del plan son las que conforman la CCCN. El Plan se activa una vez que la CCCN gire las instrucciones del caso.

 Pasos a adoptar por parte de los responsables: En el punto 6.7 Procedimientos alternativos o de recuperación, se definen los pasos que deben adoptar los responsables de los procesos críticos y que deben realizar en modo de contingencia.

 Lugar de movilización: En la actualidad BN Fondos posee dos Sitios Alternos Operativos (SAO), por lo que en caso de no haber acceso al sitio principal o de infraestructura que atenten la normalidad de la operación, deberá trasladarse el personal crítico hacia el sitio alterno para continuar operando. En el AN08-PCNBF11 Disposiciones generales ingreso y operación de las aplicaciones desde el SAO Corporativo, se encuentra la guía para el uso de los equipos y aplicaciones desde el SAO Corporativo.

 Compra de recursos: Se debe coordinar previamente con el área de Compras para que en un caso de activación se realice la compra de recursos críticos indicados en la columna “Suministros y Tecnología” del apartado 6.8 Requisitos de recursos, que deben ser reemplazados, por medio de los proveedores existentes de manera más ágil.

 Activación de otros planes: Desde que se presenta la interrupción y hasta que la misma se haya controlado y hasta la vuelta a la normalidad, se debe activar el Plan de Administración de Comunicaciones del Conglomerado BNCR de manera que se informe a los clientes sobre la situación de BN Fondos por medio de los canales oficiales, en el momento en que la Dirección de Relaciones Institucionales y comunicación externa lo considere oportuno.

(16)

Para la verificación de las acciones a seguir en una interrupción se define, para cada tipo de problema, las tareas y acciones de los responsables en la Continuidad. Seguidamente, se muestra la descripción de los cargos de cada sigla:

Siglas Cargo S Seguridad.

GG Gerencia General.

CIE Comisión Institucional de Emergencias del BNCR.

BE Brigada de Emergencias de BN Fondos.

GSIS Gerencia de Sistemas y Tecnología.

GCO Gerencia Comercial.

CCCN Comisión de Crisis de Continuidad del Negocio del BNCR.

CG Comité Gerencial de BN Fondos.

DPC Dueños de procesos críticos.

GRC Gestión de Riesgos y Calidad.

P Psicóloga.

SM Servicio Médico.

DRI Dirección de Relaciones Institucionales y comunicación externa.

Además, se muestra la descripción de los roles involucrados en cada lista de tareas:

Siglas Significado Descripción

R Responsable Este rol realiza el trabajo y es responsable por su realización. Es quien ejecuta las tareas.

A Aprobador

Este rol se encarga de aprobar el trabajo finalizado y a partir de este momento, se vuelve responsable de él. Debe asegurarse que se ejecuten las tareas.

C Consultado

Este rol posee la información o capacidad necesaria para terminar el trabajo. Se le informa y se le consulta información.

I Informado Este rol debe ser informado sobre el progreso y los resultados del trabajo.

Para cada escenario definido en el punto 6.4 Invocación del plan, se muestran las acciones a tomar en caso de una activación del plan.

(17)

Tarea R A C I

Verificar si el incidente afectó la integridad física de personas.

BE/ CIE y S BE/CIE y

S DPC GG/CIE y

S

Verificar si el incidente interrumpió subprocesos críticos.

DPC DPC GG

Revisar si la interrupción

es parcial o total. DPC DPC GG

Convocar el Comité

Gerencial de BN Fondos o la CCCN.

GG GG CG/CCCN

Comunicar la interrupción al Comité Gerencial de BN Fondos o la CCCN.

DPC DPC CG/CCCN

Declarar la crisis CCCN CCCN GG CCCN

Ejecutar la evacuación del

edificio. BE/CIE BE CG/CCCN

Realizar atención médica y psicológica al personal afectado físicamente.

SM y P BE/CIE BE/CIE CG/CCCN

Verificar el control de la

situación o interrupción. BE/CIE BE/CIE CG/CCCN

Revisar si existen daños estructurales en el edificio.

BE/CIE BE/CIE CG/CCCN

Analizar problemas en aplicaciones y

comunicaciones.

GSIS GSIS CG/CCCN

Activar el Plan de Administración de las Comunicaciones.

DCRI CG/CCCN GCO/GG/CCCN CG/CCCN

Comunicar al personal

interno la situación GCO/DRI CG/CCCN CG/CCCN CG/CCCN

(18)

Tarea R A C I

presentada.

Activar modo de

contingencia (ejecución de los procedimientos alternativos, ver punto 6.

7).

DPC,GRC CG DPC,GRC CG/CCCN

Activar el Plan de Recuperación de Desastres.

GSIS CG GSIS CG/CCCN

En caso de requerir establecer comunicación con los clientes y las clientas de BN Fondos, refiérase al Plan de Administración de Comunicaciones, y los formatos de dichas comunicaciones internas y externas, se encuentran en el AN10-PCNBF11 Protocolo de comunicación.

6.7 Procedimientos alternativos o de recuperación.

Una vez asegurada la crisis, el Comité Gerencial de BN Fondos, procede a la evaluación del desastre, considerando el impacto en personas, infraestructura y comunicaciones e informa a la CCCN. Una vez activado el plan y para brindar la continuidad del negocio, se definieron actividades alternativas que permiten continuar con la operación para los subprocesos críticos.

Para cada uno de los subprocesos críticos relacionados al proceso crítico existe un diagrama que detalla el proceso contingente a seguir, el cual contiene la simbología utilizada.

En el momento de la activación del plan, estas son las actividades que cada subproceso crítico debe ejecutar con el personal y los recursos previamente identificados.

El detalle de los diagramas se puede visualizar en los anexos a este documento, distribuido por cada subproceso crítico identificado, de la siguiente forma: AN03-PCNBF11 Diagrama de flujo: Gestión de Portafolios, AN04-PCNBF11 Diagrama de flujo: Ejecución de Instrucciones, AN05-PCNBF11 Diagrama de flujo: Transacciones, AN06-PCNBF11 Diagrama de flujo: Contabilidad de los Fondos, AN11-PCNBF11 Diagrama de flujo:

Atención a Clientes.

(19)

Para la ejecución de los subprocesos críticos debe de contarse con el personal crítico identificado y en caso de ausencia se debe contactar y coordinar con el personal de respaldo.

La información y el detalle del personal crítico están definidos en el AN02-PCNBF11 Detalle de Información de los involucrados en Continuidad de Negocio.

6.8 Requisitos de recursos.

Para la ejecución de los subprocesos críticos, es necesario contar con una serie de recursos mínimos. Estos recursos mínimos son obtenidos del Análisis de Impacto en el Negocio (BIA), y de las mejoras detectadas en las pruebas. Además del personal crítico (AN02-PCNBF11 Detalle de Información de los involucrados en Continuidad de Negocio), BN Fondos debe disponer de los siguientes servicios para el personal crítico:

Categoría Servicio Responsable

Personal

Seguridad. Gerencia Administrativa

Financiera.

Medios de transporte (subsidio para taxis).

Gerencias.

Asesoría legal (si es necesario). Dirección Jurídica del BNCR.

Mensajería. Gerencia Administrativa

Financiera.

Soporte a familiares (si es

necesario). Talento Humano.

Locales Sitios de reunión. CCCN.

Gestión de grupos de interés y comunicación con éstos.

Envío de comunicados internos sobre la interrupción y la posición del BNCR.

Dirección de Relaciones Institucionales y Gerencia Comercial de BN Fondos.

A continuación se muestran los recursos necesarios para cada subproceso crítico, los mismos son distribuidos en las categorías personal, suministros y tecnología y registros vitales¹.

1Formularios, plantillas, archivos o documentos necesarios para la ejecución del subproceso crítico, excluye bases de datos y sistemas.

(20)

Subproceso crítico Personal Suministros y

tecnología Registros vitales Contabilidad de BN Fondos

3 Colaboradores de BN Fondos

3 escritorios 3 computadoras

Transacciones 3 Colaboradores de BN Fondos

3 escritorios 3 computadoras

Ejecución de Instrucciones

2

Colaboradores

2 escritorios 2 computadoras Gestión de Portafolios

1 Colaborador de BN Fondos

1 escritorio 1 teléfono 1 computadora

 Formularios de recibo y entrega de valores.

 Revisión del vector.

 Autorización de la Inversión.

Atención de Clientes (Revisión de transacciones manuales)

1 Colaborador (Mismo recurso de Transacciones)

1 computadora 1 Teléfono

TOTAL 9 personas

9 escritorios 1 teléfono (es un recurso

compartido) 9 computadoras

N/A

(21)

DOCUMENTO CONFIDENCIAL 6.9 Persona o personas responsables por proceso.

Aparte del personal del Comité Gerencial de BN Fondos, el equipo de continuidad de negocio está conformado por la Jefatura de Gestión de Riesgos y Calidad de BN Fondos y la Brigada de Emergencias de BN Fondos quien se comunica con el Coordinador de la Comisión Institucional de Emergencias del BNCR, quienes serán responsables de las fases o tareas de recuperación tras producirse una interrupción o evento. Adicional a este equipo, puede darse el involucramiento de personal de Tecnología, de la Comisión General de Emergencias y de la Dirección de Relaciones Institucionales y comunicación externa del BNCR para el apoyo en tareas específicas de la recuperación.

Además los dueños de cada proceso crítico deben estar al tanto del subproceso de la continuidad y la recuperación al estado normal, los dueños por cada proceso son:

Proceso crítico Subproceso crítico Dueño del proceso

Administración de los Fondos de Inversión

Contabilidad de los Fondos

Gerente de Operaciones Transacciones

Ejecución de Instrucciones Gestión de Portafolios Comercialización de los

Fondos de Inversión

Atención de Clientes (Revisión de transacciones manuales)

Gerente Comercial

NOTA: En caso de una situación de emergencia, en el momento de comunicarse con los contactos externos específicos de Comisión Nacional de Emergencia, Cruz Roja, Bomberos y Fuerza Pública, el enlace primario debe ser la Dirección de Seguridad del BNCR quienes son los responsables de coordinarse con los contactos externos anteriores. En caso de que no se pueda canalizar por medio de la Dirección de Seguridad se debe de llamar al contacto directo.

6.10 Plan de pruebas, mantenimiento y entrenamiento:

El objetivo de las pruebas del PCN es determinar si este es funcional y correcto para los escenarios planificados y a la vez determinar si los planes individuales son capaces de proporcionar el nivel de apoyo deseado al área o a los procesos críticos de la empresa, probando la efectividad de los procedimientos expuestos. Ahora bien, se debe tomar en cuenta que las pruebas se realizan en un ambiente que no produce condiciones emocionales

(22)

o físicas que podrían afectar su ejecución como los que podría producir una emergencia real, por lo cual no se puede predecir a ciencia cierta el comportamiento de los colaboradores y las colaboradoras.

Es importante destacar que en el momento de realizar las pruebas, así como, al enfrentar una situación real de contingencia, el personal a cargo debe conocer y estar entrenado y familiarizado con diagramas de flujo correspondientes al proceso que deben ejecutar. Por ello, cada jefe de área o proceso es el responsable de coordinar la realización del entrenamiento a sus colaboradores y colaboradoras de los Diagramas de Flujo propios del proceso, tanto previo a la Aprobación del Plan como durante la incorporación de nuevo personal.

7. CONTROL DE LOS REGISTROS DEL SISTEMA

Código Nombre Responsable Modo de indización

y archivo Acceso Tiempo de Conservación N/A

(23)

DOCUMENTO CONFIDENCIAL 8. ANEXOS

CODIGO NOMBRE

AN01-PCNBF11 Tiempos Objetivos de Recuperación (RTO).

AN02-PCNBF11 Detalle de Información de los Involucrados en Continuidad de Negocio

AN03-PCNBF11 Diagrama de flujo: Gestión de Portafolios

AN04-PCNBF11 Diagrama de flujo: Ejecución de Instrucciones

AN05-PCNBF11 Diagrama de flujo: Transacciones

AN06-PCNBF11 Diagrama de flujo: Contabilidad de los Fondos

AN07-PCNBF11 Actividades de áreas de apoyo

AN08-PCNBF11 Disposiciones generales de ingreso y operación de las aplicaciones desde SAO Corporativo

AN09-PCNBF11 Formato de solicitud de prórroga para envío de información a la SUGEVAL

AN10-PCNBF11 Protocolo de Comunicación

AN11-PCNBF11 Diagrama de flujo: Atención de Clientes