RESOLUCIÓN Nº 219/18
TECNOLOGÍAS DE INFORMACIÓN Y COMUNICACIONES DEL SISTEMA ASEGURADOR Y MANUAL DE GOBIERNO Y CONTROL DE TECNOLOGÍAS DE INFORMACIÓN PARA ENTIDADES ASEGURADORAS (MGCTI).
Asunción, 16 de octubre de 2018
VISTO: La Resolución SS.SG N° 110/10 QUE ESTABLECE LA IMPLEMENTACIÓN Y EL MANTENIMIENTO DE UN SISTEMA DE CONTROL INTERNO PARA ASEGURADORAS Y EL ALCANCE DEL AUDITOR EXTERNO, los Objetivos de Control para Información y Tecnologías Relacionadas, definidos por el Marco de Trabajo estándar COBIT, el Memorando SS.ICF. N° 078/2017 Intendencia de Control Financiero de fecha 02 de noviembre de 2017; Memorando GUJ.DJSES. N° 173/2018 f/15.10.2018/ Unidad Jurídica.
CONSIDERANDO: Que, en el marco de uniformar los procesos operativos informáticos de las entidades aseguradoras para el cumplimiento de los fines de la organización asegurando la continuidad del negocio en casos de eventos de riesgos tecnológicos y/u operativos inherentes al negocio, y para garantizar una supervisión basada en buenas prácticas de gestión de riesgos y recursos de Tecnologías de la Información (TI) por parte de la Autoridad de Control, con información clara y completa.
Que, para dicho fin se requiere que las Áreas de Tecnología de las Entidades Aseguradoras implementen controles internos que minimicen los riesgos tecnológicos inherentes a los mismos. Que, estas herramientas buscan implementar mecanismos modernos, eficaces y confiables de Control del Sistema Asegurador en defensa de los derechos de los Asegurados.
Que, los artículos 29, 61 inc. t) y 68 de la Ley N° 827/96 “De Seguros” disponen la adopción de un sistema claro y uniforme de contabilidad e informaciones, el establecimiento de normas de contabilidad y valoración a utilizar, además de los requisitos mínimos de información financiera a terceros por parte de los administradores de las entidades sometidas bajo supervisión de esta Superintendencia, así como los requerimientos de remisión de información periódica o esporádica a la Autoridad de Control para el cumplimiento de su cometido. Los Principios Básicos de Seguros, de la Asociación Internacional de Supervisores de Seguros (IAIS), en especial los siguientes:
8.1 El supervisor requiere que la aseguradora establezca sistemas efectivos de gestión de riesgos y de controles internos, y que funcione dentro de ese marco.
8.1.13 Como mínimo, el diseño y el funcionamiento del sistema de controles internos, debe brindar una garantía razonable sobre las políticas y procesos comerciales, informáticos y financieros claves de la aseguradora; incluso sobre los informes contables y financieros, y las medidas existentes en materia de gestión de riesgos y cumplimiento. Los controles individuales de una aseguradora, al igual que todos en su conjunto, se deben estructurar, para lograr efectividad y un funcionamiento eficaz.
8.1.19. Sujeto a la naturaleza, escala y complejidad de la aseguradora, un sistema de controles internos efectivos, por lo general, comprende lo siguiente…controles apropiados para otros procesos y políticas comerciales clave, incluyendo las principales decisiones y transacciones comerciales (y las transacciones dentro del grupo), las funciones informáticas clave, el acceso de los empleados a las bases de datos y a los sistemas informáticos, y las obligaciones legales y regulatorias de relevancia;
1 6. 1. El supervisor necesita que el marco de gestión de riesgo empresarial de la asegurado raprevea la identificación y cuantificación del riesgo en función de una gama suficientemente amplia de resultados obtenidos mediante técnicas adecuadas a la naturaleza, escala y complejidad de los riesgos que presenta la aseguradora, y convenientes para la gestión de riesgo y de capital, así como para garantizar la solvencia.
16.1.1. El marco de la ERM debe identificar y abordar todos los riesgos materiales razonablemente previsibles y pertinentes a los que se expone, o es probable que se exponga, una aseguradora. Tales riesgos deben incluir, como mínimo el riesgo de suscripción, riesgo de mercado, riesgo crediticio, riesgo operativo y riesgo de liquidez, y también pueden incluir, por ejemplo, el riesgo legal y el riesgo de reputación de la aseguradora.
16.3. El supervisor exige que la aseguradora tenga una política de gestión de riesgo que describa cómo se gestionan todas las categorías aplicables y significativas, tanto en la estrategia comercial de la aseguradora como en sus operaciones diarias.
1 9. 12. 3. Debido a la importancia y a la sensibilidad de la información personal, las aseguradoras y los intermediarios deberán tomar medidas como las que se mencionan a continuación…..asegurar que se disponga de tecnología adecuada para manejar apropiadamente la información médica, financiera y personal de un cliente, que se encuentre en poder de la aseguradora…implementar políticas y procedimientos relacionados con la seguridad de los datos a fin de informar, en un plazo prudencial, los incumplimientos relativos a la seguridad a los clientes afectados y a los supervisores, y cumplir con otros requisitos relevantes sobre la divulgación de información;
Que, a los efectos de socializar adecuadamente el proyecto, la SIS lo ha discutido – antes de su puesta a consideración al Consejo Consultivo- con los sectores dedicados a TI de todas las compañías de seguros. Una vez introducidas las modificaciones que se consideraron pertinentes se llamó a reunión del Consejo Consultivo para el 10/09/2018, concluyéndose que la Asociación Paraguaya de Compañías de Seguros conformaría un equipo de trabajo para discutir el proyecto. Estas reuniones se llevaron a cabo en fechas 17/09/2018 y 26/09/2018, habiendo la SIS introducido las modificaciones recomendadas por el equipo de trabajo, teniéndose por oído el parecer del Consejo Consultivo, en los términos y alcances de los artículos 62 al 66 de la Ley N° 827/96.
Por tanto, en uso de sus atribuciones conferidas por la Ley N° 827/96 “De Seguros” y demás concordantes,
EL SUPERINTENDENTE DE SEGUROS
RESUELVE:
1) Aprobar el Manual de Gobierno y Control de Tecnologías de Información para Aseguradoras (MGCTI), que forma parte de esta Resolución (MGCTI - Anexo I).
2) Disponer la puesta en vigencia del Manual de Gobierno y Control de Tecnologías de Información para Aseguradoras (MGCTI) a partir del 2 de enero de 2019, debiéndose respetar cada una de las consideraciones técnicas incluidas en el mismo, de acuerdo al Cronograma de implementación gradual del Manual de Gobierno y Control de Tecnologías de Información para Entidades Aseguradoras (MGCTI - Anexo II).
3°) Establecer como plazo máximo de implementación total del Manual de Gobierno y Control de Tecnologías de Información para Aseguradoras el 30 de junio de 2021, periodo durante el cual se realizará el seguimiento y supervisión correspondiente por parte de esta Superintendencia.
4) Establecer 3 niveles de categorización de Aseguradoras, los cuales se definen teniendo en cuenta el tamaño, naturaleza y complejidad de las mismas. El nivel al cual pertenece cada entidad será informado a través del Sistema Informático de la SIS al cual acceden a través de la conexión VPN (MGCTI - Anexo III).
5) Disponer que los Objetivos de Control previstos como Mandatorios (M) en el Cronograma de Implementación del Manual de Gobierno y Control de Tecnologías de Información para Aseguradoras (MGCTI), sean aplicados a todas las entidades. No obstante, aquellos señalados como Sujeto a Evaluación del Supervisor (SES), se aplicarán de acuerdo a los niveles definidos en el punto anterior.
6) Instruir a las Aseguradoras a elaborar los procedimientos, tanto tecnológicos como informáticos y de comunicaciones en general, necesarios para contar con todos los recursos, modificaciones y procesos para la implementación del Manual de Gobierno y Control de Tecnologías de Información para Entidades Aseguradoras.
7) Disponer que las Aseguradoras puedan recurrir a la tercerización de los servicios de TI de manera a que puedan cumplir con los objetivos de control del Manual. No obstante, es responsabilidad de la administración de la entidad el asegurarse que la tercerización no resulte en un perjuicio en la calidad de la administración o aumente su riesgo operacional. En todo caso, las entidades aseguradoras seguirán respondiendo ante el supervisor por el cumplimiento de todas las obligaciones establecidas en el marco normativo.
8) Disponer que las Aseguradoras cuenten con personal exclusivo para la gestión y manejo de un área dedicada a las Tecnologías de la Información dentro de las mismas, independientemente a que los servicios sean tercerizados.
9) Comunicar, publicar y archivar.
Firma:
- BERNARDO NAVARRO AMARILLA, SUPERINTENDENTE DE SEGUROS.
