ACUERDO SUGEF 14-17

REGLAMENTO GENERAL DE GESTIN DE LA TECNOLOGA DE

INFORMACIN

Aprobado por el Consejo Nacional de Supervisin del Sistema Financiero, mediante artculos
9 y 11 de las actas de las sesiones 1318-2017 y 1319-2017, celebradas el 13 y el 20 de marzo
del 2017 respectivamente.
Publicado en el Alcance No 80 del diario oficial La Gaceta No 71 del 17 de abril del 2017

Rige diez das hbiles despus de su publicacin en el diario oficial La Gaceta.

VER CONSIDERANDOS DEL REGLAMENTO

VER REGLAMENTO

VER LINEAMIENTOS GENERALES

VER MODIFICACIONES

VER HISTORIAL DE CAMBIOS

Versin documento Fecha de actualizacin

2 17 de Abril 2017
ACUERDO SUGEF 14-17 ....................................................................................................... I
CONSIDERANDOS ................................................................................................................. 1
REGLAMENTO GENERAL DE GESTIN DE LA TECNOLOGA DE
INFORMACIN > ................................................................................................................... 7
CAPTULO I ............................................................................................................................ 7
DISPOSICIONES GENERALES ........................................................................................... 7
Artculo 1. Objeto ............................................................................................................. 7
Artculo 2. Alcance ........................................................................................................... 7
Artculo 3. Definiciones y abreviaturas ............................................................................ 8
Artculo 4. Lineamientos Generales ............................................................................... 10
Artculo 5. Coordinacin entre superintendencias ......................................................... 10
CAPITULO II ......................................................................................................................... 11
ORGANIZACIN DE LAS TECNOLOGAS DE INFORMACIN .............................. 11
Artculo 6. Unidad de TI ................................................................................................ 11
Artculo 7. Gobierno de TI ............................................................................................ 11
Artculo 8. Gestin de TI ............................................................................................... 11
CAPITULO III ....................................................................................................................... 12
DE LA SUPERVISIN Y AUDITORA EXTERNA DE TI ............................................. 12
SECCIN I: PERFIL TECNOLGICO Y TIPO DE GESTIN DE TI ........................ 12
Artculo 9. Perfil tecnolgico ......................................................................................... 12
Artculo 10. Tipo de gestin de TI .................................................................................... 12
SECCIN II: AUDITORA EXTERNA DE TI .................................................................. 13
Artculo 11. Auditora de las Tecnologas de Informacin .............................................. 13
Artculo 12. Alcance y plazo de la auditora .................................................................... 14
Artculo 13. Productos entregables .................................................................................. 14
Artculo 14. Presentacin de resultados de la auditora externa de TI............................ 14
SECCIN III: REPORTE SUPERVISOR Y PLAN DE ACCIN .................................. 15
Artculo 15. Reporte de Supervisin ................................................................................. 15
Artculo 16. Plan de Accin .............................................................................................. 15
SECCIN IV: PRRROGAS Y CALIFICACIN DE RIESGOS DE TI ...................... 16
Artculo 17. Prrrogas ..................................................................................................... 16
Artculo 18. Calificacin de riesgos de TI ........................................................................ 17
SECCIN V: BASES DE DATOS ........................................................................................ 17
Artculo 19. Bases de datos .............................................................................................. 17
DISPOSICIN TRANSITORIA NICA ............................................................................ 18
DISPOSICIONES DEROGATORIAS ................................................................................. 18

Pgina ii
DISPOSICIN FINAL .......................................................................................................... 18
LINEAMIENTOS GENERALES AL REGLAMENTO GENERAL DE GESTIN DE
LA TECNOLOGA DE INFORMACIN .......................................................................... 20
1. Marco de gestin de TI y periodo de transicin (Artculo 8 y transitorio nico) ........ 20
2. Perfil tecnolgico (Artculo 9) ...................................................................................... 22
3. Tipo de gestin de TI (Artculo 10) .............................................................................. 22
4. Criterios complementarios para la ejecucin de la auditora (Artculos 11 y 12) ...... 23
5. Formato del informe de auditora externa de TI (Artculo 13) .................................... 23
6. Matriz de evaluacin (Artculo 13) .............................................................................. 25
7. Contenido mnimo de la presentacin de salida (Artculo 14) ..................................... 25
8. Formato del plan de accin (Artculo 16) .................................................................... 25
9. Bases de datos (Artculo 19)......................................................................................... 26
10. Plazos (Artculos 9, 10, 12, 14, 15, 17) ...................................................................... 26
ANEXO 1: PROCESOS DEL MARCO DE GESTIN DE TI ......................................... 28
M O D I F I C A C I O N E S .................................................................................... 34
HISTORIAL DE CAMBIOS ................................................................................................. 35

Pgina iii
 CONSIDERANDOS

El Consejo Nacional de Supervisin del Sistema Financiero, mediante artculos 9 y 11 de las

actas de las sesiones 1318-2017 y 1319-2017, celebradas el 13 y el 20 de marzo del 2017
respectivamente.

Dispuso por mayora, y en firme:

Considerando que:

1. Acuerdo SUGEF 14-09: El Consejo Nacional de Supervisin del Sistema Financiero

(CONASSIF), mediante artculo 6, del acta de la sesin 773-2009 del 20 de febrero del 2009
aprob el Acuerdo SUGEF 14-09 Reglamento sobre la gestin de la tecnologa de
informacin, que define los criterios y metodologa para la evaluacin y calificacin de la
gestin de la tecnologa de informacin para las entidades fiscalizadas por la Superintendencia
General de Entidades Financieras (SUGEF).

2. SUGEF: El artculo 131, incisos c) y n) literal ii) de la Ley Orgnica del Banco Central
de Costa Rica, Ley 7558, establece como funcin del Superintendente General de Entidades
Financieras proponer al Consejo, para su aprobacin, las normas que estime necesarias para el
desarrollo de las labores de fiscalizacin y vigilancia, referentes a periodicidad, alcance,
procedimientos y publicacin de los informes de las auditoras externas de las entidades
fiscalizadas, con el fin de lograr la mayor confiabilidad de estas auditoras. La Superintendencia
puede revisar los documentos que respalden las labores de las auditoras externas, incluso los
documentos de trabajo y fijar los requisitos por incluir en los dictmenes o las opiniones de los
auditores externos.

3. SUGEVAL: El artculo 3 de la Ley Reguladora del Mercado de Valores establece que

la Superintendencia General de Valores (SUGEVAL) debe velar por la proteccin del
inversionista y el adecuado funcionamiento del mercado de valores; asimismo el artculo 8 de
la Ley 7732, Ley Reguladora del Mercado Valores, inciso b) establece que la SUGEVAL
someter a la consideracin del Consejo Nacional los proyectos de reglamento que le
corresponda dictar a la Superintendencia, el inciso j) establece la potestad de adoptar todas las
acciones necesarias para el cumplimiento efectivo de las funciones de autorizacin, regulacin,
supervisin y fiscalizacin que le competen, y el inciso l) establece la potestad de la
Superintendencia para requerir a los supervisados toda la informacin razonablemente
necesaria a fin de cumplir la funcin supervisora del mercado de valores.

4. SUPEN: El artculo 38, literal f) de la Ley 7523, Rgimen Privado de Pensiones,

establece como una atribucin del Superintendente de Pensiones adoptar todas las acciones
necesarias para el cumplimiento efectivo de las funciones de autorizacin, regulacin y
fiscalizacin que le competen a la Superintendencia, segn la Ley y las normas emitidas por el
Consejo Nacional de Supervisin del Sistema Financiero; por otra parte el Consejo Nacional
de Supervisin del Sistema Financiero, mediante artculo 8, del acta de la sesin 975-2012 del

Pgina 1
29 de mayo del 2012 aprob la evaluacin cualitativa del riesgo operativo para el clculo de la
suficiencia patrimonial de las operadoras de pensiones complementarias, donde uno de los
componentes es la evaluacin de la tecnologa de informacin. Finalmente, mediante artculo
7, del acta de la sesin 1066-2013 del 1 de octubre del 2013 aprob el Reglamento de
Calificacin de la Situacin Financiera de los Fondos Administrados por los Entes Regulados
donde se evala el riesgo tecnolgico en los regmenes de pensiones de beneficio y contribucin
definidas.

5. SUGESE: El artculo 29 de la Ley Reguladora del Mercado de Seguros, Ley 8653;

establece como objeto de la Superintendencia General de Seguros (SUGESE), velar por la
estabilidad y el eficiente funcionamiento del mercado de seguros, as como entregar la ms
amplia informacin a los asegurados. La misma ley autoriza a la SUGESE para regular y
supervisar a las personas que intervengan en los actos o contratos relacionados con la actividad
aseguradora, reaseguradora, la oferta pblica y la realizacin de negocios de seguros.
Asimismo, en el inciso i) del citado artculo se establece como su funcin el proponer al Consejo
Nacional, para su aprobacin, la normativa reglamentaria que se requiera para la aplicacin de
esta Ley y para cumplir sus competencias y funciones.

6. CONASSIF: Conforme el artculo 171 de la Ley Reguladora del Mercado Valores, es

potestad del Consejo Nacional de Supervisin del Sistema Financiero aprobar las disposiciones
referentes a la periodicidad, el alcance, los procedimientos y la publicacin de los informes
rendidos por las auditoras externas de las entidades fiscalizadas.

7. Gestin de TI: La tecnologa de la informacin (TI) es indispensable para gobernar,

gestionar y tomar decisiones dentro de las organizaciones, asimismo, su adecuada
administracin permite mantener la competitividad y coadyuva en la consecucin de las metas
y objetivos.

A principios de la dcada anterior, y en virtud de mltiples casos de quiebras y fraudes

asociados a temas operativos y de mala gestin, varios organismos internacionales han emitido
disposiciones en las que resaltan la necesidad de mejorar los sistemas de Gobierno Corporativo
y en consecuencia, la forma de gobernar TI.

Estos requerimientos plantean el reto de disear y mantener controles eficientes que faciliten la
gestin de TI desde dos puntos de vista: el primero, tomando a TI como un proceso ms del
negocio y segundo, tomando a TI como encargado de proveer y mantener la plataforma y los
sistemas que apoyan la ejecucin del resto de los procesos del negocio.

Esta dualidad implica para las entidades el diseo o la adopcin de un marco que les permita
gobernar, gestionar y controlar la funcin de TI, desde ambos puntos de vista en forma
consistente.

Dado que la gobernanza orienta, dirige y supervisa la gestin de TI y que las tecnologas de
informacin se consideran factores de riesgo operativo, al que estn expuestas las entidades,

Pgina 2
resulta necesario que este reglamento incluya la evaluacin de los procesos de gobierno y
gestin de TI por parte de las Superintendencias.

8. Necesidad de control de TI: Una inadecuada gestin del riesgo operacional en el rea
de la tecnologa de informacin en las entidades supervisadas puede repercutir negativamente
en la continuidad de sus operaciones; impactando por consiguiente sus patrimonios y
concomitantemente, afectando a los clientes de las entidades.

Por lo anterior, resulta indispensable que las entidades supervisadas determinen su marco de
gestin, para el control de la tecnologa de informacin, que garantice la integridad, seguridad,
auditabilidad y disponibilidad de la informacin y de los servicios ofrecidos.

9. Sobre la implementacin del marco de gestin de TI, dispuesto en este reglamento:

El diseo e implementacin del marco de gestin de TI requiere por parte de las entidades
supervisadas de esfuerzo planificado y progresivo. Con el objeto de facilitar este proceso, su
inversin y la definicin concomitante de polticas, procesos y estructuras, el modelo de
supervisin basada en riesgos le coadyuva, a travs de este reglamento, a que la entidad
supervisada establezca su marco de gestin de TI en funcin de sus necesidades segn su
naturaleza, complejidad, modelo de negocio, volumen de operaciones, criticidad de sus
procesos, riesgos y su dependencia tecnolgica.

Los lineamientos generales que acompaan el reglamento establecen un periodo de

implementacin a partir de la entrada en vigencia (gradualidad) que abarca hasta 5 aos para
entidades supervisadas por la SUGEVAL, SUPEN y SUGESE; asimismo, de 3 aos para las
entidades supervisadas por la SUGEF, este ltimo plazo en consideracin del avance logrado a
partir de los requerimientos del Acuerdo SUGEF 14-09 Reglamento sobre la Gestin de la
Tecnologa de Informacin. Estos plazos se estiman razonables para que las entidades puedan
efectuar las adecuaciones necesarias para la implementacin efectiva de su marco de gestin de
TI.

Por otra parte, de acuerdo con la experiencia de la aplicacin del Reglamento sobre la Gestin
de la Tecnologa de Informacin en SUGEF, se estima prudente mantener el lapso de nueve
meses, contados a partir de la notificacin del requerimiento de auditora externa de TI, para la
remisin de los entregables de la auditora externa de TI del marco de gestin de TI, as como
sobre cualquier otro criterio que se considere necesario en virtud del perfil de riesgo de la
entidad.

Dicha holgura permite a las entidades desarrollar los aspectos procedimentales necesarios a
efecto de la contratacin, ejecucin y entrega de los resultados de la auditora externa.
Finalmente, el Consejo ha considerado razonable el plazo de veinte das hbiles para la remisin
del plan de accin, cuando haya sido requerido por alguna superintendencia. Dicha conclusin
se desprende del hecho que una entidad va recibiendo retroalimentacin conforme evoluciona
la auditora externa, de manera que una vez finalizada, ya cuenta con suficientes elementos y
datos que le permiten perfilar un conjunto de acciones.

Pgina 3
10. Supervisin basada en riesgos: La supervisin basada en riesgos se caracteriza por la
migracin de un modelo basado en reglas hacia un enfoque donde la entidad supervisada es
responsable de una gestin integral de los riesgos del negocio. En este enfoque corresponde a
la entidad supervisada determinar, dentro de esa gestin de riesgos el marco de gestin de TI
que se adapte a su negocio, de manera que le permita identificar y establecer las medidas de
mitigacin para los riesgos que surgen de TI; por ello, la regulacin se enfoca a un marco de
gestin de TI con aquellas caractersticas prudenciales suficientes para el supervisor, sin que
necesariamente se definan, puntualmente, determinados estndares o herramientas de control.
En esta misma lgica, el reglamento que se emite encuentra sentido como parte de una
estructura normativa transversal al sistema financiero, que no sustituye los procesos de
supervisin sobre riesgo operacional que ya se desarrollan, sino que viene a complementarlos,
aportando informacin que nutre el criterio del supervisor a partir del aporte de especialistas
externos.

11. Estndares disponibles como marco de referencia: La industria y los profesionales

en TI, han venido desde hace varias dcadas desarrollando estndares y marcos que permitan
gestionar y controlar las tecnologas. Ante la incertidumbre y costo que significa el desarrollo
interno de un marco de gestin de TI, las organizaciones han propendido por adoptar alguno de
los marcos o estndares disponibles.

Marcos de referencia como Cobit e ITIL y estndares como ISO gozan en la actualidad de
aceptacin general, desde la visin del supervisor; Cobit es un marco apropiado que se ajusta
al negocio y facilita que las organizaciones desarrollen un ambiente de control que responda a
las necesidades del negocio, adems de estandarizar procesos de TI, limitar desviaciones de los
objetivos de negocio y particularmente lograr un balance entre los riesgos que introduce la
tecnologa de informacin y su aporte de valor al desempeo y rentabilidad. Estos marcos
igualmente permiten el desarrollo del enfoque de supervisin basada en riesgos, por las
siguientes razones:

Desde la ptica del negocio:

a. Enfoque en Gobierno de TI: El marco se desarrolla dentro del nuevo enfoque de

gobernabilidad de TI como parte del buen gobierno corporativo, procurando mayor
involucramiento con los procesos clave, definiendo una estructura de relaciones y
procesos diseados y ejecutados por la entidad para dirigir y controlar la tecnologa, sus
riesgos y vinculacin con las estrategias y objetivos de negocio.
b. Satisface los requerimientos de negocio: Integracin ms clara entre los
objetivos del negocio y la TI, mediante objetivos en el modelo de cascada y mtricas
que los soportan.
c. Logra la armonizacin: Integracin optimizada de otros estndares
internacionales.
d. Definiciones y flujos de procesos: Optimizacin en las descripciones de los
procesos, actividades, entradas y salidas.

Pgina 4
 e. Lenguaje y presentacin: Utiliza un lenguaje accesible para todo tipo de usuario,
mismo que permite a ejecutivos no versados en conocimientos tecnolgicos identificar
y comprender los principales aspectos de TI.

Desde la ptica del supervisor:

f. Permite evaluar la integracin de los procesos de TI con los procesos y lneas de

negocio y el logro de los objetivos de la entidad.
g. Permite identificar el grado de dependencia de las entidades de la tecnologa de
informacin en sus operaciones.
h. Permite identificar los perfiles de riesgo en TI de los supervisados, con el
propsito de concentrar esfuerzos en entidades con mayor exposicin o con mayores
debilidades de control.
i. Es un marco integrador (alineado con otros estndares y buenas prcticas que
puede usarse en conjunto con ellas), enfocado al negocio, y diseado para ser utilizado
por una amplia gama de usuarios, pero principalmente, como gua integral para la alta
administracin y para los lderes o responsables de los procesos y lneas de negocio.

12. Sobre la estrategia del supervisor: La experiencia con los intermediarios financieros
en relacin con el proceso de implementacin del marco de gestin de TI del Acuerdo SUGEF
14-09 Reglamento sobre la Gestin de la Tecnologa de Informacin, devel que varios
grupos y conglomerados financieros gestionan la tecnologa de informacin de forma
corporativa en las empresas que los integran. Conscientes de esta realidad, el CONASSIF ha
concebido la necesidad de integrar en un solo cuerpo normativo los requerimientos de control
para la gestin de TI para un grupo o conglomerado. Dicha estrategia tiene como objetivo
permitir entre otros aspectos, la estandarizacin de procesos, la generacin de economas de
escala y la creacin de una cultura proclive a la mejora de la gobernabilidad de la TI.

El reglamento que se emite tambin reconoce que entre los supervisados se presentan
diferencias en el grado de dependencia de las tecnologas de informacin y que, como
consecuencia, la materializacin de los riesgos a esas tecnologas les impacta de manera
diferente. Esa condicin se refleja al implementar el principio de proporcionalidad que rige
los esquemas de supervisin basada en riesgo. Dicho principio promueve que las prcticas y
demandas de supervisin se definan y apliquen en consonancia con el perfil de riesgo y la
importancia sistmica de los supervisados, el enfoque asumido permite que los supervisados
agreguen otros estndares o bien que exista una exigencia particular en funcin de su rol dentro
del mercado en que opera. Finalmente, sobre una base de costo beneficio, naturaleza de la
entidad y perfil tecnolgico; se permite la definicin de marcos de gestin de TI diferentes en
reconocimiento de estas diferencias.

La pretensin ltima de esta estrategia es generar, bajo un esquema de supervisin integrada y

coordinada, mejoras en el nivel de la gestin de la tecnologa de informacin y sus riesgos
asociados, como herramienta para contribuir al proceso de gestin de riesgos y de preparacin
ante los retos que impone un ambiente financiero competitivo e innovador.

Pgina 5
13. Auditora externa: La auditora de los sistemas de tecnologa de informacin es una
actividad altamente especializada para la cual existen certificaciones con reconocimiento
mundial; se considera conveniente, que la revisin del marco de gestin de TI y cualquier otro
criterio que las Superintendencias consideren necesario en virtud del perfil de riesgo de las
entidades supervisadas, sea ejecutada por auditores externos con el fin de contribuir con la
eficiencia en el proceso de supervisin. Los resultados de esta auditora pueden enriquecer la
supervisin en torno a los riesgos operacionales y de tecnologa de la informacin que realizan
las Superintendencias y se constituye en un elemento adicional dentro de la supervisin basada
en riesgos.

14. Registro de Auditores Elegibles: Actualmente se cuenta con un registro de auditores

con requisitos en torno a su capacidad e independencia, dicho registro se concentra en auditores
financieros, sin embargo, con el propsito de ir avanzando en la integracin en un solo cuerpo
reglamentario, que regule los requerimientos de los distintos profesionales que convergen en
procesos de revisin y auditoria, se ampla el alcance de este registro para que incluya a los
auditores externos de tecnologas de la informacin.

15. Comit de TI: El Reglamento de Gobierno Corporativo seala dentro de las funciones
del rgano de Direccin, establecer los comits tcnicos que considere pertinentes para la
buena gestin de la entidad, por lo que la creacin del comit de TI estar en funcin de las
necesidades de las entidades supervisadas segn su naturaleza, complejidad, modelo de
negocio, volumen de operaciones, criticidad de sus procesos y su dependencia tecnolgica.

16. Coordinacin entre superintendencias: Para evitar costos innecesarios a las entidades
supervisadas resulta imprescindible coordinar los procesos de supervisin de las diferentes
superintendencias cuando una misma unidad de TI presta servicios a entidades supervisadas
por distintos rganos supervisores.

17. El inciso i) del artculo 171 de la Ley Reguladora del Mercado de Valores establece
como una de las funciones del Consejo Nacional de Supervisin del Sistema Financiero
reglamentar el intercambio de informacin que podrn realizar entre s las diferentes
Superintendencias, para el estricto cumplimiento de sus funciones de supervisin prudencial.
La Superintendencia que reciba informacin en virtud de este inciso, deber mantener las
obligaciones de confidencialidad a que est sujeto el receptor inicial de dicha informacin.

Resolvi:

Aprobar el Reglamento General de Gestin de la Tecnologa de Informacin, de conformidad

con el siguiente texto:

Pgina 6
 REGLAMENTO GENERAL DE GESTIN DE LA TECNOLOGA DE
INFORMACIN >

CAPTULO I

DISPOSICIONES GENERALES

Artculo 1. Objeto
Este Reglamento establece los requerimientos mnimos para la gestin de la tecnologa de
informacin que deben acatar las entidades supervisadas y reguladas del sistema financiero
costarricense.

Artculo 2. Alcance
Las disposiciones establecidas en este Reglamento son de aplicacin para:

a) Supervisados por SUGEF:

1. Bancos comerciales del Estado;
2. Bancos creados por ley especial;
3. Bancos privados;
4. Empresas financieras no bancarias;
5. Organizaciones cooperativas de ahorro y crdito;
6. Mutuales de ahorro y prstamo y
7. Caja de ahorro y prstamos de la ANDE;
8. Cualquier otro intermediario financiero sujeto a supervisin por SUGEF.

b) Supervisados por SUGEVAL:

1. Puestos de Bolsa y Sociedades Administradoras de Fondos de Inversin;
2. Bolsas de Valores;
3. Sociedades de compensacin y liquidacin;
4. Proveedores de Precio;
5. Entidades que brindan servicios de custodia;
6. Centrales de Valores;
7. Sistemas de Anotacin Electrnica en Cuenta, y
8. Sociedades titularizadoras y fiduciarias.

c) Supervisados por SUGESE:

1. Entidades Aseguradoras y sociedades Reaseguradoras;
2. Sucursales de entidades aseguradoras extranjeras.

Pgina 7
d) Supervisados por SUPEN:
1. Operadoras de Pensiones Complementarias;
2. Fondos complementarios creados por leyes especiales o convenciones colectivas;
3. Regmenes pblicos sustitutos del Rgimen de Invalidez, Vejez y Muerte de la Caja
Costarricense de Seguro Social.

Se exceptan los regmenes administrados por la Direccin Nacional de Pensiones del

Ministerio de Trabajo, las entidades reguladas y fondos en proceso de liquidacin, los fondos
creados por leyes especiales cuya gestin de TI es contratada a una operadora de pensiones, as
como los fondos de pensiones cerrados a nuevas afiliaciones.

Artculo 3. Definiciones y abreviaturas

Para efectos de este Reglamento y sus Lineamientos se utilizan las siguientes definiciones y
abreviaturas:

a) Auditor externo de TI: profesional independiente o socio de una firma o despacho

responsable de la auditora externa de TI.

b) Auditora externa de TI: servicio de auditora directa que implica un compromiso de

reporte directo segn el estndar definido por ISACA.

c) Cliente: persona relacionada a las entidades supervisadas denominadas: ahorrantes,

inversionistas, afiliados a fondos de inversin o fondos de pensiones, tomadores de seguros,
asegurados, beneficiarios de plizas de seguros, segn sea el caso.

d) Entidad supervisada: entidad del sector financiero supervisada por un rgano supervisor
costarricense segn el alcance definido en el artculo 2.

e) Gestin de TI: estructura de relaciones y procesos diseados y ejecutados para dirigir y

controlar la tecnologa de informacin, sus riesgos asociados y su vinculacin con las
estrategias y objetivos del negocio.

f) Guas de aseguramiento: gua con los pasos de prueba sugeridos para auditar el
cumplimiento de los objetivos de control.

g) Gobierno de TI: componente del marco de gobierno corporativo a travs del cual, el rgano
de Direccin y la Gerencia de la entidad o vehculo de administracin de recursos de terceros,
evala, controla y dirige el uso actual y futuro de la tecnologa de informacin, para
contribuir con el soporte de las metas estratgicas y el monitoreo en el cumplimiento de los
planes.

Pgina 8
h) Hallazgo: debilidad, deficiencia o brecha apreciable respecto a un criterio o estndar
previamente definido.

i) ISACA: acrnimo en ingls de la Asociacin de Auditora y Control de los Sistemas de

Informacin (Information Systems Audit and Control Association).

j) Marco de Gestin de TI: conjunto de procesos, destinados a gestionar las tecnologas de

informacin, que la entidad supervisada debe adoptar como referencia para la gestin
integral de sus riesgos tecnolgicos, considerando su naturaleza, complejidad, modelo de
negocio, volumen de operaciones, criticidad de sus procesos y la dependencia tecnolgica
que stas tienen en procesos de TI.

k) Objetivo de control: declaracin del resultado o fin que se desea lograr, al implantar
procedimientos de control en una actividad de TI en particular.

l) rgano de Direccin: mximo rgano colegiado de la entidad, responsable de la

organizacin.

m) Perfil tecnolgico: descripcin de la estructura organizacional, los procesos y la

infraestructura de TI de la entidad supervisada, as como, del nivel de automatizacin de sus
procesos de negocio y de gestin del riesgo.

n) Plan de accin: documento que describe las acciones, plazos y responsables que establezca
una entidad supervisada, para atender los hallazgos y riesgos detectados y comunicados en
el reporte del supervisor.

o) Prcticas de control: indicaciones detalladas para dar cumplimiento a los objetivos de

control.

p) Proceso de negocio: cadena de actividades que agregan valor y permiten la generacin de

un producto o servicio bajo determinadas condiciones y plazo.

q) Proveedor de TI: persona fsica o jurdica que provee o presta un servicio relacionado con
TI a la unidad de TI, o a una entidad supervisada, sea independiente o que pertenezca al
mismo grupo o conglomerado financiero, incluyendo las casas matrices, indistintamente de
su domicilio.

r) Riesgo de TI: posibilidad de prdidas financieras o afectaciones derivadas de un evento

relacionado con el acceso o uso de la tecnologa, que afecta el desarrollo de los procesos de
negocio y la gestin de riesgos de la entidad, al atentar contra la confidencialidad, integridad,
disponibilidad, eficiencia, confiabilidad y oportunidad de la informacin.

Pgina 9
s) TI: acrnimo de Tecnologas de Informacin, definidas como el conjunto de tcnicas para la
captura, almacenamiento, transformacin, transmisin y presentacin de la informacin
generada o recibida a partir de procesos de negocios, de manera que pueda ser organizada y
utilizada en forma consistente y comprensible por los usuarios que estn relacionados con
ella. Incluye elementos de hardware, software, telecomunicaciones y conectividad, entre
otros.

t) Tipo de gestin de TI: conjunto de caractersticas o aspectos que determinan si la gestin

que realizan las entidades es individual o corporativa.

u) Unidad de TI: unidad que provee los procesos y servicios de TI para las entidades
supervisadas.

Artculo 4. Lineamientos Generales

Los superintendentes deben emitir conjuntamente, mediante acuerdo de alcance general, los
Lineamientos Generales para la aplicacin de este Reglamento.

Artculo 5. Coordinacin entre superintendencias

Las superintendencias deben coordinar los procesos regulados en este reglamento cuando la
gestin de TI sea corporativa, cuando existan razones tcnicas y de oportunidad que justifican
dicho accionar.

El proceso de intercambio de informacin entre superintendencias se har en los trminos

dispuestos en la Ley Orgnica del Banco Central de Costa Rica.

Pgina 10
 CAPITULO II

ORGANIZACIN DE LAS TECNOLOGAS DE INFORMACIN

Artculo 6. Unidad de TI
La unidad de TI es individual, cuando sta forma parte de la estructura organizativa de la entidad
supervisada, o es un proveedor de TI domiciliado en el territorio nacional o en el extranjero,
que brinda servicios en forma particular a una entidad supervisada.

La unidad de TI es corporativa, cuando el servicio lo realiza una unidad que forma parte de la
estructura organizacional de una empresa integrante del mismo grupo o conglomerado
financiero al que pertenece la entidad supervisada, o bien, es un proveedor de TI domiciliado
en el territorio nacional o en el extranjero, que brinda servicios a varias empresas integrantes
de un mismo grupo o conglomerado financiero.

La responsabilidad del gobierno, la gestin y de la seguridad de informacin en los servicios

que estn tercerizados recaer en las entidades supervisadas.

Artculo 7. Gobierno de TI
Las entidades supervisadas deben establecer una estructura de gobierno de TI con actividades
y propsitos orientados a la generacin de valor, a la consecucin de beneficios acorde a los
niveles de riesgo aceptables y al uso ptimo de los recursos de las tecnologas de la informacin.

Las entidades supervisadas deben procurar que las necesidades de las partes interesadas sean
evaluadas respecto a las metas corporativas establecidas; instituir una direccin del gobierno y
de la gestin de TI priorizada; y asegurar que sea monitoreado el rendimiento y el cumplimiento
respecto a la direccin y las metas acordadas.

Artculo 8. Gestin de TI
Las entidades supervisadas son responsables de planificar, implementar, controlar y mantener
un marco de gestin de TI, conforme a los procesos descritos en los Lineamientos Generales y
considerando los riesgos de TI establecidos en la gestin integral de riesgos aprobada por el
rgano de Direccin de cada una de las entidades.

El marco de gestin de TI debe formularse, considerando las particularidades de cada entidad

supervisada, en atencin a su naturaleza, complejidad, modelo de negocio, volumen de
operaciones, criticidad de sus procesos y la dependencia tecnolgica. Cualquier otra
particularidad o aspecto puede ser considerada por la entidad supervisada o por la

Pgina 11
Superintendencia. Los procesos del marco de gestin de TI que no aplican para su modelo de
negocio debern ser justificados razonadamente mediante un estudio tcnico.

Cuando la gestin de TI sea tipificada como corporativa, la entidad puede coordinar, aplicar y
mantener un nico marco de gestin de TI corporativo, el cual debe contemplar los riesgos de
TI establecidos en la gestin integral de riesgos aprobada por el rgano de Direccin de cada
una de las entidades.

De acuerdo con las necesidades de supervisin, el riesgo identificado, o cuando se determine

que el marco de gestin de TI no es acorde a las particularidades de la entidad supervisada, las
Superintendencias pueden requerir, mediante resolucin razonada, la inclusin de procesos en
el marco de gestin de TI establecido por las entidades supervisadas.

CAPITULO III

DE LA SUPERVISIN Y AUDITORA EXTERNA DE TI

Seccin I: Perfil tecnolgico y tipo de gestin de TI

Artculo 9. Perfil tecnolgico

Cada entidad supervisada debe elaborar y mantener actualizado su perfil tecnolgico. El
formulario de perfil tecnolgico, la fecha de envo a la Superintendencia respectiva, forma y
medio sern establecidos en los Lineamientos Generales.

Cuando la unidad de TI es corporativa debe remitirse un nico perfil y coordinar que ese perfil
tecnolgico se ajuste al marco de gestin de TI. El perfil tecnolgico debe identificar las
particularidades de cada una de las entidades.

Artculo 10. Tipo de gestin de TI

Las entidades supervisadas pueden solicitar que su gestin de TI sea tipificada como
corporativa cuando la unidad de TI provee servicios a dos o ms entidades integrantes del grupo
o conglomerado financiero. Los aspectos a considerar en la justificacin de la solicitud y el
plazo de resolucin sern establecidos en los Lineamientos Generales.

Pgina 12
 Seccin II: Auditora Externa de TI

Artculo 11. Auditora de las Tecnologas de Informacin

El supervisor solicitar a las entidades supervisadas la contratacin de una auditora externa de
TI sobre el marco de gestin de TI y su aplicacin, lo anterior segn se determine en el alcance
de la auditora definido por el supervisor.

El intervalo entre una y otra solicitud no puede ser menor a dos aos ni mayor a cuatro aos,
excepto, cuando el supervisor considere, con base en los resultados de la supervisin, la
necesidad de adelantarla.

La auditora externa de TI debe cumplir con el ciclo de auditora de TI conforme a las Normas
de Auditora y Aseguramiento de Sistemas de Informacin emitidas por ISACA.

Sin embargo; los superintendentes pueden establecer mediante los Lineamientos Generales
criterios complementarios para la ejecucin del ciclo de la auditora.

El auditor externo de TI que lleve a cabo esta auditora debe estar inscrito en el Registro de
Auditores Elegibles que forma parte del Registro Nacional de Valores e Intermediarios,
dispuesto en la Ley Reguladora del Mercado de Valores de conformidad con el reglamento
correspondiente.

El contrato con el auditor externo de TI debe incluir una clusula que obligue a ste a entregar
al supervisor, copia de la informacin recopilada y procesada que sirve como respaldo de las
labores de auditora, as como los papeles de trabajo, en un plazo mximo de cinco das hbiles
contados a partir de recibida la solicitud de entrega.

Si la unidad de TI es corporativa le corresponde a los rganos de Direccin asegurarse que el

alcance de la auditora incluya todo aquello que corresponde a cada una de las entidades
supervisadas, de tal forma, que los productos a entregar evalen la gestin de TI a nivel de los
procesos, pero tambin incluya aquellos riesgos particulares del negocio que desarrolla cada
entidad supervisada. En caso de que se contrate una auditora externa corporativa, los rganos
de Direccin de las entidades supervisadas deben dejar constancia de la aprobacin del contrato
de servicios, el cual debe cumplir con todos los requisitos establecidos en las regulaciones
vigentes.

Pgina 13
Artculo 12. Alcance y plazo de la auditora
El supervisor debe comunicar a las entidades supervisadas el alcance y plazo de remisin de los
productos entregables de la auditora externa de TI.

El alcance lo establece el supervisor mediante la definicin de al menos los aspectos siguientes:

a) Procesos y objetivos de control a evaluar, con base en el marco de gestin de TI aplicables
en el momento de la solicitud de la auditora externa de TI.

b) Entidades supervisadas y reas de negocio a considerar en cada proceso.

c) Servicios de TI suministrados por proveedores de TI.

d) El periodo de cobertura.

El plazo otorgado para la remisin de los productos entregables ser definido en los
Lineamientos Generales.

Artculo 13. Productos entregables

Las entidades supervisadas deben remitir al supervisor los productos siguientes:
a) El informe de auditora externa de TI, segn el formato establecido en los Lineamientos
Generales.

b) La matriz de evaluacin de los procesos auditados.

c) Copia del acta del rgano de Direccin de la entidad, en el cual aprueba el informe de la
auditora externa de TI.

Artculo 14. Presentacin de resultados de la auditora externa de TI

Las entidades supervisadas deben convocar, previa coordinacin con el supervisor, una reunin
de salida para la presentacin de los resultados de la auditora externa de TI.

El plazo otorgado para convocar la presentacin de resultados de la auditora externa ser

definido en los Lineamientos Generales.

El auditor externo de TI debe presentar los resultados de la auditora externa de TI. Los
contenidos mnimos de la presentacin se establecen en los Lineamientos Generales.

En la presentacin de resultados de la auditora externa deben participar al menos las personas

siguientes:
a) Los colaboradores que estimen las superintendencias.

b) El Gerente General de las entidades supervisadas.

Pgina 14
c) El responsable de la unidad de TI, o similar, de las entidades supervisadas.

d) El auditor interno, cuando exista, de cada una de las entidades supervisadas.

e) El presidente del comit de vigilancia, cuando exista, de cada una de las entidades
supervisadas.

Seccin III: Reporte supervisor y plan de accin

Artculo 15. Reporte de Supervisin

De los resultados de las auditoras externas de TI de las entidades supervisadas, las
superintendencias elaborarn un reporte de supervisin. Este reporte debe elaborarse y
actualizarse con los productos entregables indicados en los incisos a) y b) del Artculo 13. En
este reporte se determinan los hallazgos y riesgos que deben ser atendidos por la entidad
supervisada, as como la estrategia y actividades de seguimiento que se realizarn.

Asimismo, los resultados de cualquier actividad de supervisin realizada directamente por las
superintendencias, se incorporarn en el proceso de supervisin.

Cuando haya una auditora externa de TI y el o los supervisores se aparten de la opinin emitida
por el auditor externo de TI debe incluirse la debida justificacin.

El plazo otorgado para remitir a la entidad supervisada el reporte de supervisin sobre los
resultados de la auditora externa, ser definido en los Lineamientos Generales.

El supervisor puede declarar inadmisibles los productos entregables indicados en los incisos a)
y b) del Artculo 13 cuando incumplan las disposiciones establecidas en este Reglamento o sus
Lineamientos Generales. En este caso, la entidad supervisada debe remitir los productos
entregables corregidos y realizar la reunin de salida en el plazo indicado en la nota de remisin
del reporte de supervisin. Cuando los productos de la auditora sean admisibles y se incorporen
al reporte de supervisin, pero se determinen hallazgos y riesgos, el supervisor debe requerir en
la nota de remisin un plan de accin para la gestin de stos.

Artculo 16. Plan de Accin

La entidad supervisada debe presentar el plan de accin con el formato y plazo establecidos en
los Lineamientos Generales.

El plan de accin debe ser aprobado por el rgano de Direccin de la entidad supervisada y
debe estar firmado por su representante legal o gerente general. Las actividades incluidas en el
plan de accin deben solventar los hallazgos o mitigar los riesgos indicados en el reporte de
supervisin.

Pgina 15
Los supervisores pueden hacer observaciones al plan de accin, sugerir mejoras o advertir sobre
riesgos significativos. Si a criterio de los supervisores las actividades incluidas en el plan de
accin no atienden adecuadamente los hallazgos y riesgos, el plazo solicitado es mayor al
razonablemente necesario o la frecuencia de presentacin de los informes de avances no permite
un adecuado seguimiento al plan de accin, los supervisores deben solicitar las modificaciones
pertinentes a la entidad supervisada.

La entidad supervisada debe ejecutar las modificaciones solicitadas por el supervisor y

comunicar a ste las variaciones en el plazo requerido. El plan de accin, as modificado, debe
ser comunicado al rgano de Direccin de la entidad supervisada, y debe estar firmado por su
representante legal o gerente general.

Las Superintendencias pueden coordinar el reporte y proceso de supervisin.

La aprobacin de los planes de accin por parte del supervisor proceder en aquellos casos en
que as lo defina su regulacin especfica.

Seccin IV: Prrrogas y calificacin de riesgos de TI

Artculo 17. Prrrogas

La entidad supervisada puede presentar una solicitud de prrroga ante el supervisor, para la
remisin de los productos entregables de la auditora externa de TI o para el plan de accin. El
plazo otorgado para presentar una solicitud de prrroga ante el supervisor, a fin de que la misma
pueda ser conocida y resuelta por la respectiva superintendencia, ser definido en los
Lineamientos Generales.

La solicitud debe estar firmada por el representante legal o gerente general de la entidad
solicitante y debe indicar la fecha propuesta de remisin de los productos de auditora externa
de TI o acompaarse de un nuevo plan de accin aprobado por su rgano de Direccin segn
corresponda. Adems, debe contener los motivos y las pruebas, si fuere del caso, que
imposibilitan a la entidad para cumplir con el plazo original, y deber demostrar, que los
motivos para su peticin se basan en caso fortuito o fuerza mayor, u otras causas fuera de su
control.

El superintendente del respectivo rgano supervisor conocer y valorar los fundamentos

presentados y, en los casos que corresponda, otorgar prrroga por escrito, mediante resolucin
motivada, indicando el plazo adicional concedido. Cuando la unidad de TI es corporativa, las
superintendencias coordinarn la concesin de la citada prrroga.

Pgina 16
Artculo 18. Calificacin de riesgos de TI
El superintendente, cuando corresponda a su modelo de supervisin definido
reglamentariamente y aprobado por el CONASSIF, debe emitir la calificacin sobre el riesgo
de TI de la entidad supervisada. La metodologa para determinar dicha calificacin se establece
en las regulaciones particulares de cada Superintendencia.

Seccin V: Bases de datos

Artculo 19. Bases de datos

Las bases de datos actualizadas y las aplicaciones vigentes que procesan o dan acceso a estas
bases deben estar accesibles al ente supervisor correspondiente, sin ningn tipo de restriccin
o condicin.

Con este fin, cuando la unidad de TI no forme parte de una entidad supervisada o cuando existan
proveedores de TI, la entidad debe establecer un contrato con esa unidad de TI y con cada uno
de los proveedores de TI. Las condiciones que deben observarse en los instrumentos legales en
que se pacten los servicios de TI, tendientes a cumplir el objetivo sealado en esta norma, sern
definidas en los Lineamientos Generales.

Las bases de datos actualizadas, as como, las aplicaciones vigentes que procesan o dan acceso
a estas bases, pueden mantenerse en servicios de computacin en la nube, siempre y cuando se
cumplan con los requisitos legales, de seguridad y de acceso del supervisor, de acuerdo a la
normativa aplicable por cada superintendencia. La respectiva superintendencia puede requerir
un modelo de gestin de infraestructura tecnolgica diferente al de los servicios de computacin
en la nube, cuando en estos: la entidad no cumpla los requisitos legales y de seguridad; no se
brinde acceso al supervisor; la informacin que la entidad desea mantener sea sensible o crtica
para la continuidad del negocio; la computacin en la nube represente un riesgo para el sistema
financiero; o cuando afecte los intereses de los clientes.

Pgina 17
 Disposicin transitoria nica

De conformidad con el requerimiento dispuesto en el artculo 8. Marco de gestin de TI, las

superintendencias deben establecer en los Lineamientos Generales que acompaan este
Reglamento una gradualidad para la implementacin de los procesos relacionados al marco de
gestin de TI. Dicho periodo de gradualidad ser de 3 aos para las entidades supervisadas por
la Superintendencia General de Entidades Financieras y de 5 aos para las entidades
supervisadas por la Superintendencia General de Valores, Superintendencia de Pensiones y
Superintendencia General de Seguros.

Disposiciones derogatorias

Se deroga el Acuerdo SUGEF 14-09, Reglamento sobre la Gestin de la Tecnologa de

Informacin.
Se deroga el Acuerdo de SUGEVAL SGV-A-124, Acuerdo sobre requerimientos mnimos de
tecnologa de la informacin (TI).

Disposicin final

Este reglamento rige diez das hbiles despus de su publicacin en el diario oficial La Gaceta.

Pgina 18
 REGRESAR AL INICIO
LINEAMIENTOS GENERALES

Circular Externa

31 de marzo de 2017
SGF-1033-2017
SGF-PUBLICO

Superintendencia General de Entidades Financieras. Despacho del

Superintendente. Santa Ana, del 31 de marzo del 2017.

El Superintendente de Entidades Financieras,

Considerando que:

1. El Consejo Nacional de Supervisin del Sistema Financiero, mediante los artculos 9 y

11 de las actas de las sesiones 1318-2017 y 1319-2017, celebradas el 13 y el 20 de marzo del
2017, respectivamente, aprob el Reglamento General de Gestin de la Tecnologa de
Informacin, Acuerdo SUGEF 14-17.

2. Conforme el artculo 4 del Reglamento, corresponde a los Superintendentes emitir

conjuntamente los Lineamientos Generales para su aplicacin;

3. Los artculos 8, 9, 10, 11, 12, 13, 14, 15 16, 17, 19, el transitorio nico, el formulario de
perfil tecnolgico, la solicitud sobre tipo de gestin de TI, los criterios complementarios para
la ejecucin de la auditora externa de TI e informe, la matriz de evaluacin, la periodicidad del
reporte supervisor, y el formato del plan de accin del citado reglamento, requieren la emisin
de lineamientos en relacin al marco de gestin de TI.

4. El Reglamento General de Gestin de la Tecnologa de Informacin, Acuerdo SUGEF 14-

17, as como, sus Lineamientos Generales, aplican para las entidades supervisadas por la
Superintendencia General de Valores (SUGEVAL), la Superintendencia de Pensiones
(SUPEN), la Superintendencia General de Seguros (SUGESE) y la Superintendencia General
de Entidades Financieras (SUGEF).

5. El anterior Acuerdo SUGEF 14-09 Reglamento sobre la gestin de la tecnologa de

informacin y sus Lineamientos Generales, que aplicaban nicamente para las entidades
fiscalizadas por la Superintendencia General de Entidades Financieras (SUGEF); estn siendo
derogados.

Pgina 19
Dispone:

1. Emitir los Lineamientos Generales al Reglamento General de Gestin de la Tecnologa

de Informacin, de conformidad con el siguiente texto:

LINEAMIENTOS GENERALES AL REGLAMENTO GENERAL DE GESTIN DE

LA TECNOLOGA DE INFORMACIN

1. Marco de gestin de TI y periodo de transicin (Artculo 8 y transitorio nico)

De los procesos detallados en el Anexo 1, las entidades supervisadas debern determinar cules
resultan adecuados a su Marco de Gestin de TI, todo debidamente fundamentado y aprobado
por su rgano de Direccin.

Las entidades deben implementar los procesos de su marco de gestin de TI gradualmente como
mximo durante los primeros 3 aos para las entidades supervisadas por SUGEF y 5 aos para
el resto de las entidades supervisadas por las otras Superintendencias, contados a partir de la
entrada en vigencia del reglamento.

En concordancia con la naturaleza, modelo de negocio, criticidad de los procesos y dependencia

tecnolgica de informacin y la complejidad de sus operaciones, las superintendencias esperan
que los entes supervisados implementen los rganos, comits, instancias y controles, para lo
cual deben contar con una estructura organizacional para la gestin de TI que delimite
claramente sus obligaciones, funciones y responsabilidades y que cuente con polticas
orientadas a cautelar una adecuada gestin de TI en congruencia con la estrategia de gestin de
los riesgos de TI determinada por las entidades supervisadas.

Algunos aspectos relevantes a tomar en consideracin para el establecimiento de los roles y

responsabilidades de las partes interesadas para la implementacin, supervisin y evaluacin
de la gestin de TI son los siguientes:

rgano de Direccin.

i. Aprobar el Marco de Gestin de TI.

ii. Direccionar a sus miembros, alta gerencia, lder del rea de informtica y el lder de
administrar los riesgos, o cualquier otro miembro que se considere pertinente para que se
involucren en las instancias que les permitan gestionar las tecnologas de informacin.

Pgina 20
iii. Establecer un Comit de TI, cuando as lo requiera de acuerdo a su ordenamiento
organizacional y la naturaleza de sus operaciones.
iv. Designar la firma de auditores externos o profesional independiente de TI, de conformidad
con la propuesta que para esos efectos le presenten las instancias correspondientes.
v. Establecer, aprobar y supervisar la aplicacin de las polticas de gestin de TI.
vi. Aprobar las estrategias y la designacin de los recursos necesarios para la implementacin
del Marco de Gestin de TI.
vii. Analizar y aprobar los informes de la Auditora Externa de TI que se remitan a las
respectivas superintendencias.
viii. Orientar la implementacin de las actividades que son responsabilidad del Comit de TI
en caso que no establezca ese comit en su estructura organizacional.

Comit de TI

Cuando la entidad supervisada establezca un Comit de TI dentro de su estructura

organizacional, su conformacin debe ser acorde a las mejores prcticas y le correspondern,
entre otras funciones, las siguientes:

i. Velar por la implementacin de los procesos de la gestin de TI.

ii. Asesorar en la formulacin de las estrategias, metas de TI y velar por su cumplimiento.
iii. Proponer las polticas generales con base en el marco de gestin de TI.
iv. Recomendar las prioridades para las inversiones en TI.
v. Proponer los niveles de tolerancia al riesgo de TI en congruencia con el perfil tecnolgico
de la entidad.
vi. Velar por que la gerencia gestione el riesgo de TI en concordancia con las estrategias y
polticas aprobadas.
vii. Analizar el Plan de Accin y sus ajustes que atiendan el reporte de supervisin de TI.
viii. Dar seguimiento a las acciones contenidas en el Plan de Accin.

Alta Gerencia.

i. Proponer al rgano de Direccin las estrategias y los recursos requeridos para la

implementacin del marco de Gestin de TI.
ii. Proponer al rgano de Direccin o Comit de TI, en caso de existencia de este ltimo, la
firma de auditores externos o profesional independiente de TI para la ejecucin de la
Auditora Externa de TI.
iii. Implementar y controlar la ejecucin de las polticas y procedimientos de gestin de TI.
iv. Designar las reas de negocio responsables de implementar los procesos del marco de
Gestin TI.
v. Atender todos los requerimientos de informacin que formule el supervisor.

Pgina 21
2. Perfil tecnolgico (Artculo 9)

El Perfil Tecnolgico y la Gua para la descarga, llenado y remisin del Perfil Tecnolgico
vigentes, se encuentran en los sitios electrnicos oficiales de cada superintendencia.

El formato del archivo del perfil tecnolgico y su medio de remisin, sern comunicados por la
respectiva Superintendencia.

El plazo de remisin del perfil tecnolgico, se define en el punto 10 de estos lineamientos.

3. Tipo de gestin de TI (Artculo 10)

La solicitud de validacin del tipo de gestin de TI debe contener una justificacin debidamente
sustentada del por qu se considera que el modelo de la gestin de TI es corporativa,
considerando una descripcin detalla de al menos los aspectos siguientes:

i. Gestin de recursos: cmo se realiza la gestin y asignacin de los recursos de TI, a las
diferentes entidades supervisadas. Estos recursos pueden incluir a los colaboradores,
requerimientos de hardware, software, sistemas de informacin, seguridad de la informacin
y telecomunicaciones.
ii. Formulacin de polticas y procedimientos: cmo se definen las polticas y procedimientos
a nivel corporativo, para orientar las decisiones y los procesos de TI, dentro de cada una de
las entidades supervisadas.

iii. Aspectos financieros: cmo se realiza la aplicacin de la coordinacin que se realiza para
establecer los presupuestos, el control de la ejecucin presupuestaria y la aplicacin de las
directrices presupuestarias.
iv. Esquema de coordinacin: cmo se dan las actividades de coordinacin entre las diferentes
entidades supervisadas, para analizar los temas relacionados con requerimientos, reportes,
niveles de servicio y seguimiento y cumplimiento de objetivos. El esquema de toma de
decisiones y el organigrama.
v. Aspectos de control: cul es el esquema que se establece para el control de los procesos de
TI entre las entidades supervisadas.
vi. Plataforma tecnolgica: describir cmo la plataforma tecnolgica es compartida por las
diferentes entidades supervisadas, tanto a nivel de hardware como de software.
vii. Servicios de TI brindados por terceros: en el caso que las entidades soporten sus servicios
de tecnologas de informacin a travs de terceros, se deben incluir el contrato y las
referencias de su aprobacin entre la entidad y el proveedor que presta el servicio.

Pgina 22
4. Criterios complementarios para la ejecucin de la auditora (Artculos 11 y 12)

El tipo de auditora externa de TI requerida es una auditora directa que brinde un alto nivel,
pero no absoluto, de aseguramiento acerca de la efectividad de los controles sobre los procesos
y debe involucrar al menos lo siguiente:

1. Planificacin del trabajo a realizar, identificando los recursos requeridos.

2. Evaluacin de la efectividad del diseo de los procedimientos de control.
3. Prueba de la efectividad operativa de los procedimientos de control.
4. Formulacin de una conclusin sobre el diseo y la efectividad operativa de los
procedimientos de control.

5. Formato del informe de auditora externa de TI (Artculo 13)

El informe de auditora externa de TI debe estar debidamente numerado y foliado. Debe

contener el formato indicado seguidamente:

Cartula del Informe

a. Nombre de la entidad supervisada.
b. Nombre de las Superintendencias que recibirn los resultados de la auditora externa de TI.
c. Ttulo del informe: Auditora externa de TI.
d. Nmero de oficio en que el supervisor de la entidad solicita la auditora.
e. Nombre del Auditor (Firma, socio responsable y encargado del equipo o auditor externo
independiente) y el correspondiente cdigo del certificado CISA.
f. Fecha de finalizacin del informe.

Secciones del Informe

I. Generalidades de la auditora externa.
a. Identificacin de la entidad supervisada.
1. Tipo de entidad supervisada (entidad individual o grupo de entidades).
2. Tipo de gestin de TI (individual o corporativa).
3. Otros aspectos importantes a criterio del auditor.

b. Restriccin.
Indicar las restricciones con respecto a la circulacin del informe.

c. Equipo de auditora.
Integracin del equipo de auditora:
1. Nombre completo.
2. Rol dentro del equipo.

d. Perodo de ejecucin de la auditora.

e. Perodo auditado.

Pgina 23
II. Alcance de la Auditora
Detalle del alcance de la auditora.

III. Limitaciones Generales

Indique las limitaciones generales a que estuvo sujeta la auditora.

IV. Resultados de la auditora

a. Opinin General.
b. Conclusiones.
Para cada proceso evaluado se debe indicar lo siguiente:
i. los hallazgos determinados durante la auditora,
ii. los riesgos de TI a que est expuesto la entidad supervisada a raz de los hallazgos sealados
en el punto anterior,
iii. las recomendaciones de solucin a los riesgos de TI sealados en el punto anterior.
c. Comentarios de la gerencia al borrador de informe (documento formal y firmado que contiene
los comentarios de la gerencia sobre los hallazgos y su aceptacin o rechazo).
d. Detalle de cualquier reserva que el auditor externo de TI tuviese en cuanto al alcance de la
auditora.

V. Firmas
El informe debe estar firmado al menos por el socio responsable o el auditor externo
independiente.

VI. Anexos
El informe debe contener como mnimo los anexos siguientes:
1. Matriz de calificacin de la gestin de TI. (de la entidad supervisada y de los proveedores de
TI).
2. Nmero del acuerdo del rgano directivo, en el cual aprueba el informe final de la auditora
externa de TI.
3. ndice de documentacin de los papeles de trabajo referenciados en el informe de auditora
externa de TI y en la matriz de calificacin de gestin de TI con explicaciones detalladas de los
documentos.
4. Cualquier otra informacin o documento considerado necesario por el auditor externo de TI.

Pgina 24
6. Matriz de evaluacin (Artculo 13)

La matriz de evaluacin de la gestin de TI contiene los criterios que sern evaluados para cada
proceso.

La entidad supervisada debe entregar la matriz de evaluacin de la gestin de TI al Auditor

externo de TI, para que la misma sea llenada durante el proceso de ejecucin de la auditora.

La Matriz de evaluacin de la gestin de TI, en su versin vigente, y la Gua para completar

la Matriz de evaluacin gestin de TI se encuentran en los sitios electrnicos oficiales de cada
superintendencia.

7. Contenido mnimo de la presentacin de salida (Artculo 14)

El contenido mnimo de la presentacin de salida es el siguiente:

a. Objetivos de la auditora.
b. Metodologa utilizada en el proceso de revisin.
c. Alcance de la auditora.
d. Perodo auditado.
e. Periodo de ejecucin de la auditora.
f. Hallazgos relevantes por proceso.
g. Riesgos de TI relevantes.
h. Opinin general.
i. Recomendaciones.

8. Formato del plan de accin (Artculo 16)

Los planes de accin deben especificar claramente la accin a implementar, su duracin o plazo
de ejecucin, las fechas de inicio y fin de ejecucin, el responsable, los indicadores para medir
la efectividad de las acciones tomadas para mitigar el riesgo o corregir el hallazgo y una
explicacin clara de que tales acciones van a lograr lo propuesto.

El plan de accin en su versin vigente y la Gua para la descarga, llenado y remisin del
Plan de Accin se encuentran en los sitios electrnicos oficiales de cada superintendencia.

Pgina 25
9. Bases de datos (Artculo 19)

Con el fin de mantener la continuidad del servicio que brinda la unidad de TI cuando no forme
parte de una entidad supervisada y/o los proveedores de TI contratados por la entidad; los
contratos que se establezcan, debern contener la clusula siguiente:

Artculo XX. Obligaciones de la unidad de TI/proveedor de TI frente a los supervisores de

las entidades.

(nombre de la unidad de TI/proveedor de TI) se obliga a suministrar a (nombre de la

Superintendencia) y al auditor externo de TI toda informacin que le sea requerida por estos,
as como, todas las facilidades requeridas en la supervisin de TI, de acuerdo con la
reglamentacin emitida por el Consejo Nacional de Supervisin del Sistema Financiero de la
Repblica de Costa Rica y sus Lineamientos Generales.

Asimismo, (nombre de la unidad de TI/proveedor de TI) se obliga a continuar brindando los

servicios de TI contratados an en el caso de intervencin de alguna entidad supervisada por
parte de un rgano supervisor costarricense.

10. Plazos (Artculos 9, 10, 12, 14, 15, 17)

Los plazos para los diferentes productos que sern generados para la implementacin del
Reglamento General de Gestin de la Tecnologa de Informacin, son los siguientes:

a. Tipo de gestin de TI: Las solicitudes remitidas por las entidades para que su gestin de TI
sean tipificadas como corporativas, deben ser resueltas por las Superintendencias en el plazo
de veinte das hbiles contados a partir de la recepcin de la solicitud y su documentacin
completa.

En caso que las Superintendencias requieran informacin complementaria para atender la

solicitud, suspende el plazo de resolucin.

b. Perfil Tecnolgico: El perfil tecnolgico, debe ser remitido anualmente.

c. Plazo de ejecucin de la auditora: El plazo otorgado para la remisin de los productos

entregables de la auditora externa de tecnologas de informacin no debe ser mayor a nueve
meses; adicionalmente, las Superintendencias pueden requerir en un plazo menor esos
productos de acuerdo a la definicin de riesgo que represente la entidad para la supervisin.

Pgina 26
La entidad supervisada puede presentar una solicitud de prrroga ante el supervisor, a ms
tardar veinte das hbiles antes del vencimiento del plazo para la remisin de los productos
entregables de la auditora externa de TI, a fin de que la misma pueda ser conocida y resuelta
por la respetiva superintendencia.

d. Presentacin de resultados de la auditora externa de TI: Las entidades supervisadas deben

convocar, previa coordinacin con el supervisor, una reunin de salida para la presentacin
de los resultados de la auditora externa de TI en el plazo de cinco das hbiles contados a
partir del recibo de los productos de la auditora por parte del supervisor.

e. Reporte de Supervisin: Las superintendencias deben remitir a la entidad supervisada el

reporte de supervisin en el plazo de veinte das hbiles contados a partir de la reunin de
salida para presentar los resultados de la auditora externa, salvo cuando los supervisores
soliciten cambios al informe de auditora externa, en cuyo caso el plazo inicia con la entrega
definitiva del informe.

f. Plan de Accin:
i. La entidad supervisada puede presentar una solicitud de prrroga ante el supervisor, de
conformidad con los plazos que para el efecto dispone la Ley General de Administracin
Pblica, a fin de que la misma pueda ser conocida y resuelta por la respetiva
superintendencia.

ii. El plan de accin debe incluir la frecuencia de presentacin de los informes de avance con
plazos no mayores a los seis meses.

Pgina 27
 Anexo 1: Procesos del Marco de Gestin de TI

Aos para su implementacin

posterior a la entrada en vigencia del
reglamento
Entidades
Aspectos del supervisadas por
No. Marco de Descripcin SUGEVAL, SUGEF
SUPEN,
Gestin de TI SUGESE
A la
entrada
1 2 3 4 5 en 1 2 3
vigencia

Asegurar el
Analiza y articula los requerimientos para el gobierno de TI de
establecimiento y
la empresa y pone en marcha y mantiene efectivas las
mantenimiento
1.1
del marco de
estructuras, procesos y prcticas facilitadoras, con claridad de x x
las responsabilidades y la autoridad para alcanzar la misin, las
referencia de
metas y objetivos de la empresa.
gobierno

Asegurar la Optimizar la contribucin al valor del negocio desde los

1.2 Entrega de procesos de negocio, de los servicios TI y activos de TI x x
Beneficios resultado de la inversin hecha por TI a unos costos aceptables.

Asegurar que el apetito y la tolerancia al riesgo de la empresa

Asegurar la
son entendidos, articulados y comunicados y que el riesgo para
1.3 Optimizacin del
el valor de la empresa relacionado con el uso de las TI es x x
Riesgo
identificado y gestionado.

Asegurar que las adecuadas y suficientes capacidades

Asegurar la
relacionadas con las TI (personas, procesos y tecnologas)
1.4 Optimizacin de
estn disponibles para soportar eficazmente los objetivos de la x x
Recursos
empresa a un coste ptimo.

Asegurar que la medicin y la elaboracin de informes en

Asegurar la
cuanto a conformidad y desempeo de TI de la empresa son
Transparencia
1.5
hacia las Partes
transparentes, con aprobacin por parte de las partes x x
interesadas de las metas, las mtricas y las acciones correctivas
Interesadas
necesarias.

Aclarar y mantener el gobierno de la misin y la visin

Gestionar el corporativa de TI. Implementar y mantener mecanismos y
2.1 Marco de Gestin autoridades para la gestin de la informacin y el uso de TI en x x
de TI la empresa para apoyar los objetivos de gobierno en
consonancia con las polticas y los principios rectores.

Proporcionar una visin holstica del negocio actual y del

entorno de TI, la direccin futura, y las iniciativas necesarias
para migrar al entorno deseado. Aprovechar los bloques y
Gestionar la
2.2
Estrategia
componentes de la estructura empresarial, incluyendo los x x
servicios externalizados y las capacidades relacionadas que
permitan una respuesta gil, confiable y eficiente a los
objetivos estratgicos.

Pgina 28
 Aos para su implementacin
posterior a la entrada en vigencia del
reglamento
Entidades
Aspectos del supervisadas por
No. Marco de Descripcin SUGEVAL, SUGEF
SUPEN,
Gestin de TI SUGESE
A la
entrada
1 2 3 4 5 en 1 2 3
vigencia

Establecer una arquitectura comn compuesta por los procesos

de negocio, la informacin, los datos, las aplicaciones y las
capas de la arquitectura tecnolgica de manera eficaz y
eficiente para la realizacin de las estrategias de la empresa y
de TI mediante la creacin de modelos clave y prcticas que
Gestionar la describan las lneas de partida y las arquitecturas objetivo.
2.3 Arquitectura Definir los requisitos para la taxonoma, las normas, las x x
Empresarial directrices, los procedimientos, las plantillas y las herramientas
y proporcionar un vnculo para estos componentes. Mejorar la
adecuacin, aumentar la agilidad, mejorar la calidad de la
informacin y generar ahorros de costos potenciales mediante
iniciativas tales como la reutilizacin de bloques de
componentes para los procesos de construccin.

Ejecutar el conjunto de direcciones estratgicas para la

inversin alineada con la visin de la arquitectura empresarial,
las caractersticas deseadas de inversin, los portafolios de
servicios relacionados, considerar las diferentes categoras de
inversin y recursos y las restricciones de financiacin.
Evaluar, priorizar y equilibrar programas y servicios, gestionar
Gestionar el la demanda con los recursos y restricciones de fondos, basados
2.4
Portafolio en su alineamiento con los objetivos estratgicos as como en x x
su valor y riesgo corporativo. Mover los programas
seleccionados al portafolio de servicios activos listos para ser
ejecutados. Supervisar el rendimiento global del portafolio de
servicios y programas, proponiendo ajustes si fuesen
necesarios en respuesta al rendimiento de programas y
servicios o al cambio en las prioridades corporativas.

Gestionar las actividades financieras relacionadas con las TI

tanto en el negocio como en las funciones de TI, abarcando
presupuesto, costo y gestin del beneficio, y la priorizacin del
Gestionar el gasto mediante el uso de prcticas presupuestarias formales y
2.5 Presupuesto y los un sistema justo y equitativo de reparto de costos a la empresa. x x
Costos Consultar a las partes interesadas para identificar y controlar
los costos totales y los beneficios en el contexto de los planes
estratgicos y tcticos de TI, e iniciar acciones correctivas
cuando sea necesario.

Proporcionar un enfoque estructurado para garantizar una

ptima estructuracin, ubicacin, capacidades de decisin y
Gestionar los
habilidades de los recursos humanos. Esto incluye la
2.6 Recursos
comunicacin de las funciones y responsabilidades definidas, x x
Humanos
la formacin y planes de desarrollo personal y las expectativas
de desempeo, con el apoyo de gente competente y motivada.

Pgina 29
 Aos para su implementacin
posterior a la entrada en vigencia del
reglamento
Entidades
Aspectos del supervisadas por
No. Marco de Descripcin SUGEVAL, SUGEF
SUPEN,
Gestin de TI SUGESE
A la
entrada
1 2 3 4 5 en 1 2 3
vigencia
Gestionar las relaciones entre el negocio y TI de modo formal
y transparente, enfocndolas hacia el objetivo comn de
obtener resultados empresariales exitosos apoyando los
Gestionar las objetivos estratgicos y dentro de las restricciones del
2.7
relaciones presupuesto y los riesgos tolerables. Basar la relacin en la x x
confianza mutua, usando trminos entendibles, lenguaje
comn y voluntad de asumir la propiedad y responsabilidad en
las decisiones claves.

Alinear los servicios basados en TI y los niveles de servicio con

Gestionar los las necesidades y expectativas de la empresa, incluyendo
2.8 acuerdos de identificacin, especificacin, diseo, publicacin, acuerdo y x x
servicio supervisin de los servicios TI, niveles de servicio e
indicadores de rendimiento.

Administrar todos los servicios de TI prestados por todo tipo

de proveedores para satisfacer las necesidades del negocio,
incluyendo la seleccin de los proveedores, la gestin de las
Gestionar los
2.9
Proveedores
relaciones, la gestin de los contratos y la revisin y x x
supervisin del desempeo, para una eficacia y cumplimiento
adecuados, minimizando el riesgo que los proveedores no
cumplan.
Definir y comunicar los requisitos de calidad en todos los
procesos, procedimientos y resultados relacionados de la
Gestionar la
2.10
Calidad
organizacin, incluyendo controles, vigilancia constante y el x x
uso de prcticas probadas y estndares de mejora continua y
esfuerzos de eficiencia.

Identificar, evaluar y reducir los riesgos relacionados con TI de

forma continua, dentro de niveles de tolerancia establecidos
Gestionar el
2.11
Riesgo
por la direccin ejecutiva de la empresa. Integrar la gestin de x x
riesgos empresariales relacionados con TI con la gestin de
riesgos empresarial.

Definir, operar y supervisar un sistema para la gestin de la

Gestionar la seguridad de la informacin. Mantener el impacto y ocurrencia
2.12
Seguridad de los incidentes de la seguridad de la informacin dentro de x x
los niveles de apetito de riesgo de la empresa.

Gestionar todos los programas y proyectos del portafolio de

Gestin de
inversiones de forma coordinada y en lnea con la estrategia
3.1 Programas y
corporativa. Iniciar, planificar, controlar y ejecutar programas x x
Proyectos
y proyectos y cerrarlos con una revisin post-implementacin.

Pgina 30
 Aos para su implementacin
posterior a la entrada en vigencia del
reglamento
Entidades
Aspectos del supervisadas por
No. Marco de Descripcin SUGEVAL, SUGEF
SUPEN,
Gestin de TI SUGESE
A la
entrada
1 2 3 4 5 en 1 2 3
vigencia

Identificar soluciones y analizar requerimientos antes de la

adquisicin o creacin para asegurar que estn en lnea con los
requerimientos estratgicos de la organizacin y que cubren los
Gestionar la
procesos de negocios, aplicaciones, informacin/datos,
3.2 Definicin de
infraestructura y servicios. Coordinar con las partes interesadas x x
Requisitos
afectadas la revisin de las opciones viables, incluyendo costes
y beneficios relacionados, anlisis de riesgo y aprobacin de
los requerimientos y soluciones propuestas.

Establecer y mantener soluciones identificadas en lnea con los

requerimientos de la empresa que abarcan el diseo, desarrollo,
Gestionar la
compras/contratacin y asociacin con proveedores /
Identificacin y
3.3
Construccin de
fabricantes. Gestionar la configuracin, preparacin de x x
pruebas, realizacin de pruebas, gestin de requerimientos y
Soluciones
mantenimiento de procesos de negocio, aplicaciones,
datos/informacin, infraestructura y servicios.

Equilibrar las necesidades actuales y futuras de disponibilidad,

rendimiento y capacidad con una provisin de servicio efectiva
Gestionar la en costes. Incluye la evaluacin de las capacidades actuales, la
3.4 Disponibilidad y previsin de necesidades futuras basadas en los requerimientos x x
la Capacidad del negocio, el anlisis del impacto en el negocio y la
evaluacin del riesgo para planificar e implementar acciones
para alcanzar los requerimientos identificados.

Gestione todos los cambios de una forma controlada,

incluyendo cambios estndar y de mantenimiento de
emergencia en relacin con los procesos de negocio,
Gestionar los
3.5
Cambios
aplicaciones e infraestructura. Esto incluye normas y x x
procedimientos de cambio, anlisis de impacto, priorizacin y
autorizacin, cambios de emergencia, seguimiento, reporte,
cierre y documentacin.

Aceptar formalmente y hacer operativas las nuevas soluciones,

incluyendo la planificacin de la implementacin, la
Gestionar la
conversin de los datos y los sistemas, las pruebas de
Aceptacin del
3.6
Cambio y la
aceptacin, la comunicacin, la preparacin del lanzamiento, x x
el paso a produccin de procesos de negocio o servicios TI
Transicin
nuevos o modificados, el soporte temprano en produccin y
una revisin post-implementacin.

Pgina 31
 Aos para su implementacin
posterior a la entrada en vigencia del
reglamento
Entidades
Aspectos del supervisadas por
No. Marco de Descripcin SUGEVAL, SUGEF
SUPEN,
Gestin de TI SUGESE
A la
entrada
1 2 3 4 5 en 1 2 3
vigencia

Gestionar los activos de TI a travs de su ciclo de vida para

asegurar que su uso aporta valor a un coste ptimo, que se
mantendrn en funcionamiento (acorde a los objetivos), que
estn justificados y protegidos fsicamente, y que los activos
Gestionar los que son fundamentales para apoyar la capacidad del servicio
3.7
Activos son fiables y estn disponibles. Administrar las licencias de x x
software para asegurar que se adquiere el nmero ptimo, se
mantienen y despliegan en relacin con el uso necesario para
el negocio y que el software instalado cumple con los acuerdos
de licencia.

Definir y mantener las definiciones y relaciones entre los

principales recursos y capacidades necesarias para la
prestacin de los servicios proporcionados por TI, incluyendo
Gestionar la
3.8
Configuracin
la recopilacin de informacin de configuracin, el x x
establecimiento de lneas de referencia, la verificacin y
auditora de la informacin de configuracin y la actualizacin
del repositorio de configuracin.

Coordinar y ejecutar las actividades y los procedimientos

operativos requeridos para entregar servicios de TI tanto
Gestionar
4.1
Operaciones
internos como externalizados, incluyendo la ejecucin de x x
procedimientos operativos estndar predefinidos y las
actividades de monitorizacin requeridas.

Proveer una respuesta oportuna y efectiva a las peticiones de

Gestionar
usuario y la resolucin de todo tipo de incidentes. Recuperar el
Peticiones e
4.2
Incidentes de
servicio normal; registrar y completar las peticiones de usuario; x x
y registrar, investigar, diagnosticar, escalar y resolver
Servicio
incidentes.

Identificar y clasificar problemas y sus causas raz y

Gestionar
4.3
Problemas
proporcionar resolucin en tiempo para prevenir incidentes x x
recurrentes. Proporcionar recomendaciones de mejora.

Establecer y mantener un plan para permitir al negocio y a TI

responder a incidentes e interrupciones de servicio para la
Gestionar la
4.4
Continuidad
operacin continua de los procesos crticos para el negocio y x x
los servicios TI requeridos y mantener la disponibilidad de la
informacin a un nivel aceptable para la empresa.

Proteger la informacin de la empresa para mantener aceptable

el nivel de riesgo de seguridad de la informacin de acuerdo
Gestionar con la poltica de seguridad. Establecer y mantener los roles de
4.5 Servicios de seguridad y privilegios de acceso de la informacin y realizar x x
Seguridad la supervisin de la seguridad. Minimizar el impacto en el
negocio de las vulnerabilidades e incidentes operativos de
seguridad en la informacin.

Pgina 32
 Aos para su implementacin
posterior a la entrada en vigencia del
reglamento
Entidades
Aspectos del supervisadas por
No. Marco de Descripcin SUGEVAL, SUGEF
SUPEN,
Gestin de TI SUGESE
A la
entrada
1 2 3 4 5 en 1 2 3
vigencia
Definir y mantener controles apropiados de proceso de negocio
para asegurar que la informacin relacionada y procesada
Gestionar dentro de la organizacin o de forma externa satisface todos los
Controles de requerimientos relevantes para el control de la informacin.
4.6
Proceso de Identificar los requisitos de control de la informacin y x x
Negocio gestionar y operar los controles adecuados para asegurar que la
informacin y su procesamiento satisfacen estos
requerimientos.

Recolectar, validar y evaluar mtricas y objetivos de negocio,

Supervisar,
de TI y de procesos. Supervisar que los procesos se estn
Evaluar y Valorar
5.1
el Rendimiento y
realizando acorde al rendimiento acordado y conforme a los x x
objetivos y mtricas y se proporcionan informes de forma
la Conformidad
sistemtica y planificada.

Supervisar y evaluar de forma continua el entorno de control,

incluyendo tanto autoevaluaciones como revisiones externas
Supervisar,
independientes. Facilitar a la Direccin la identificacin de
Evaluar y Valorar
5.2
el Sistema de
deficiencias e ineficiencias en el control y el inicio de acciones x x
de mejora. Planificar, organizar y mantener normas para la
Control Interno
evaluacin del control interno y las actividades de
aseguramiento.

Evaluar el cumplimiento de requisitos regulatorios y

Supervisar,
contractuales tanto en los procesos de TI como en los procesos
Evaluar y Valorar
de negocio dependientes de las tecnologas de la informacin.
la Conformidad
5.3
con los
Obtener garantas de que se han identificado, se cumple con los x x
requisitos y se ha integrado el cumplimiento de TI en el
Requerimientos
cumplimiento de la empresa general. Asegurar que la empresa
Externos.
cumple con todos los requisitos externos que le sean aplicables.

Rigen a partir de la publicacin en el Diario Oficial La Gaceta, del Acuerdo SUGEF 14-17
Reglamento General de Gestin de la Tecnologa de Informacin.

Aprobado por el Comit de Superintendentes.

Atentamente,

Javier Cascante Elizondo

Superintendente

GAA/gvl*

Pgina 33
 REGRESAR AL INICIO

M O D I F I C A C I O N E S

Pgina 34
 REGRESAR AL INICIO

HISTORIAL DE CAMBIOS

Versin 1: Texto del Reglamento General de Gestin de la Tecnologa de Informacin,

aprobado por el Consejo Nacional de Supervisin del Sistema Financiero (CONASSIF),
mediante artculos 9 y 11 de las actas de la sesiones 1318-2017 y 1319-2017, celebradas el 13
y el 20 de marzo del 2017, respectivamente. Este Reglamento rige diez das hbiles despus de
su publicacin en el diario oficial La Gaceta. Pendiente de publicacin en el Diario Oficial La
Gaceta.

Texto de los Lineamientos Generales al Reglamento General de Gestin de la Tecnologa de

Informacin, aprobados segn Circular Externa SGF-1033-2017 SGF-PUBLICO,
Superintendencia General de Entidades Financieras. Despacho del Superintendente. Santa Ana,
del 31 de marzo del 2017.

Versin 2: Reglamento General de Gestin de la Tecnologa de Informacin, publicado en

el Alcance No 80 del diario oficial La Gaceta No 71 del 17 de abril del 2017.
Este Reglamento rige diez das hbiles despus de su publicacin en el diario oficial La Gaceta.

Pgina 35