plan de continuidad del negocio de bcr...

PLA-FIN-RIE-45-14

Vigencia desde: 06/05/2014 Versión: 4 rige a partir de 20/12/2018 Página 1 de 26

PLAN DE CONTINUIDAD DEL NEGOCIO DE BCR SAFI

Fondos de Inversión Jefatura de Riesgo y Control Normativo

Vigencia: 06/05/2014 Versión: 4 rige a partir de 20/12/2018 Página 2 de 26 PLA-FIN-CDN-45-14 Plan de continuidad del negocio de BCR SAFI

Tabla de contenido I. Introducción .................................................................................................... 3

II. Propósito y alcance ......................................................................................... 4

III. Definiciones .................................................................................................... 6

IV. Objetivos ......................................................................................................... 7

V. Estructura jerárquica ........................................................................................... 7

Vl. Criterios de activación .................................................................................... 8

Vll. Procedimientos de continuidad .................................................................. 13

1. Procedimientos de contingencia ...................................................................... 16

2. Procedimientos de retorno a la normalidad ..................................................... 16

3. Requisitos y recursos ...................................................................................... 16

4. Roles y responsabilidades del personal involucrado ....................................... 17

5. Interacciones e interdependencias internas y externas ................................... 19

6. Propietario y mantenimiento del plan ............................................................. 21


I. Introducción

El Conglomerado Financiero BCR requiere establecer procedimientos documentados para dar continuidad de servicio ante un evento de interrupción y como se reestablece los procesos críticos según el tiempo definido en el Análisis de Impacto en el Negocio. La capacidad de dar continuidad a los procesos de negocio y de tecnología de información proporciona una ventaja competitiva y reduce el impacto ocasionado por un incidente. Más que ningún otro sector, la industria financiera conoce los costos que puede traer consigo una interrupción en el funcionamiento normal de sus operaciones y en caso de desastre, una empresa bien preparada con un Plan de Continuidad de Negocio, en adelante BCP (por sus siglas en inglés, Business Continuity Plan), puede mostrar a los clientes y al mundo que se ha preparado adecuadamente, reforzando así su marca y credibilidad en el mercado. Hoy en día, tanto las administraciones como organismos internacionales de estandarización están “tomando cartas” en el asunto y de ahí la creación de estándares y mejores prácticas como el BS 25999 y la ISO/IEC 22301 para la Gestión de la Continuidad de Negocio y otras que hacen referencia al tema como la ISO/IEC 27001 para la implantación de Sistemas de Gestión de la Seguridad de la Información (SGSI); también existen regulaciones externas de Costa Rica como son la Ley de Control Interno implementadas por la Contraloría General de la República; las Normas Técnicas para la Gestión y Control de las TIC y el Acuerdo SUGEF 14-09 (Reglamento sobre la Gestión de la Tecnología de Información), normativa emitida por los entes supervisores (Superintendencias) del sistema financiero costarricense; todas ellas, en mayor o menor medida, hacen referencia a aspectos organizativos y técnicos para salvaguardar los activos de una organización, empezando por su información.

La misión de BCR Sociedad Administradora de Fondos de Inversión S.A. (en adelante BCR SAFI) es de incrementar el valor del patrimonio de nuestros inversionistas con servicios de calidad, productos innovadores, rentabilidad competitiva y una adecuada gestión del riesgo.


Premisas del Plan de continuidad de negocio

La correcta ejecución de las pruebas de funcionamiento de las estrategias comprendidas en este plan, está condicionada a las siguientes premisas generales establecidas:

Las diferentes estrategias o planes, serán definidas únicamente para los procesos críticos de la Sociedad, definidas en el BIA (Business Impact Analysis).

Las áreas tomadoras de riesgo en coordinación con el área gestora de riesgo de la Sociedad, realizarán pruebas periódicas de funcionamiento de los planes; con el fin de evaluar y determinar la eficacia de los mismos, o bien, analizar qué partes necesitan ser mejoradas para su correcta aplicación.

II. Propósito y alcance

El propósito del BCP es definir los responsables y los pasos a seguir en la activación de la continuidad de negocio parcial (en caso de interrupción de los procesos críticos aisladas o completa), para BCR Sociedad Administradora de Fondos de Inversión S.A, en adelante Sociedad o BCR SAFI, asociado con una interrupción significativa de los procesos críticos, o bien de la plataforma tecnológica que soportan dichos procesos, de forma que se disponga de herramientas necesarias para gestionar las necesidades de las áreas de negocio identificadas como vulnerables. Las instituciones financieras en otras latitudes como Europa y Suramérica que han implementado un Sistema de Gestión de Continuidad de Negocio, coinciden en la practicidad de sus planes y procedimientos para la continuidad de negocio.

Las acciones aquí descritas, no están organizadas para que sean realizadas siguiendo una secuencia estricta. Este plan debe ser integrado al esquema de administración de continuidad de negocio para todas las entidades que conforman el Conglomerado Financiero BCR bajo los lineamientos de la norma ISO 22301 y del Acuerdo 18 – 16 del Reglamento sobre Gestión del Riesgo Operativo, El alcance de este plan corresponde a los procesos críticos definidos desde el Análisis de Impacto en el Negocio (BIA) de BCR SAFI y con su respectivo objetivo de tiempo de recuperación (RTO). A continuación se muestran los procesos críticos que cubren este plan para el BCR SAFI:


Procesos críticos Gerencia RTO

Comercialización de fondos de inversión

Jefatura Comercial

>1h y


RTO (definidos en el BIA), se debe escalar al Gerente de la subsidiaria para que éste active el Comité de Crisis o, el cual debe tomar la decisión de si activa o no los Planes de Continuidad (flecha color vino). En caso de que se decida activar el plan, se activan los equipos de operación en contingencia hasta que se restablezcan los servicios y sea posible ejecutar el proceso crítico con normalidad. Todo este proceso de crisis debe ir acompañado de un Plan de Comunicación en Crisis (Flecha azul) de manera que se mantenga informado a los clientes así como al personal crítico interno sobre la situación presentada y de posibles avances o comunicados oficiales.

Este plan busca dar continuidad a los procesos críticos. Por lo que se enfoca en la operación en modo contingencia de manera que se puedan minimizar los impactos y dar servicio a los clientes en una crisis ya sea interna o externa.

Este documento sirve como guía para restablecer la operación de los procesos críticos a un nivel aceptable, siempre y cuando se cuenten con los recursos necesarios, en el caso de una crisis. El BCP es altamente dependiente de otros documentos del Sistema de Gestión de Continuidad de Negocio, los documentos relacionados son:

Documento Área responsable

Plan de Administración de Incidentes Oficina de Continuidad de Negocio

Procedimientos para la atención de emergencias por parte de la brigada de emergencia del Conglomerado Financiero BCR

Salud Ocupacional

Procedimiento para ejecución de las funciones críticas en contingencia de BCR SAFI

Fondos de inversión / Continuidad del negocio

Tabla 2. Documentos relacionados

Estos documentos deben de estar disponibles y actualizados por cada área responsable, ya que deben de utilizarse según el incidente materializado.

III. Definiciones

Los términos mencionados en este documento se localizan en el Glosario de términos y definiciones utilizadas en el Conglomerado Financiero BCR y se detallan a continuación: Árbol de llamadas, Apetito de riesgo, BIA (Business Impact Analysis), Conglomerado Financiero BCR, Continuidad del negocio, Crisis, Crisis parcial, Crisis total, Función crítica

http://bcr0106dss01/dscgi/ds.py/Get/File-5676/DISP-GMC-OPP-111-11_V7.dochttp://bcr0106dss01/dscgi/ds.py/Get/File-5676/DISP-GMC-OPP-111-11_V7.doc


de negocio, Gestión de la Continuidad de TI, Impacto o magnitud, Incidente, Marco de gestión de la continuidad, Marco de gestión de la continuidad de TI, Plataforma tecnológica, Premisas, Riesgo, RTO (Recovery Time Objective), Siniestro, Sitio alterno, TI.

IV. Objetivos

Los objetivos de este plan son:

Establecer procedimientos para continuar con los procesos críticos en un tiempo definido.

Definir los perfiles responsables en la ejecución de la contingencia para cada proceso crítico.

Establecer las tareas para regresar a la operación normal cuando finaliza la crisis.

Minimizar los impactos a los que se enfrenta la entidad en caso de una interrupción, parcial o total.

Preparar a la entidad para actuar ante contingencias y con ello disminuir las consecuencias a ésta.

Todo lo anterior, con el fin de no interrumpir parcial o totalmente la entrega de los servicios a sus inversionistas de forma tal, que ni los clientes ni el negocio tenga un impacto con consecuencias graves.

V. Estructura jerárquica

La estructura jerárquica de la administración de la continuidad del negocio en la Sociedad es la siguiente:


Ilustración 2 Estructura jerárquica de la gestión de continuidad de negocio en BCR SAFI

Fuente: Jefatura de Riesgo y Control Normativo, BCR SAFI S.A. Vl. Criterios de activación

La activación del plan es realizada ya sea por la Gerencia General de BCR SAFI si la situación es local o por el Comité de Crisis si es una situación que afecta al Conglomerado Financiero BCR y debe realizarse una vez que se tenga el control de la situación (esta activación puede realizarse fuera del horario laboral). Para esta activación se brindan una serie de criterios que apoyen la decisión de activación por parte del Comité de Crisis. Los criterios son:

Tipo de Incidente Situación Materialización

Personas Ausencia o pérdida del personal necesario para la ejecución de los procesos críticos de



BCR SAFI

Peligro de la vida humana (por ejemplo violencia, asalto, secuestro, etc.) pandemias, huelgas, problemas de acceso a las instalaciones, ausencia de personal crítico

Tecnología Caída nacional de los servicios de telecomunicaciones donde su recuperación por parte del proveedor sea mayor al RTO mínimo de los procesos críticos*

Caída de las aplicaciones (internas o externas) que soportan las procesos críticos y la atención al cliente de BCR SAFI, cuya recuperación supere los RTO´s establecidos en el BIA*

Faltante del fluido eléctrico superior al tiempo de operación estándar de las fuentes alternas (plantas eléctricas y UPS) de manera permanente, causado por agentes externos o internos*

Proveedores críticos

No disponibilidad de los recursos (tecnológicos o personal) adquiridos por BCR SAFI mediante una contratación, necesarios para la ejecución de los procesos críticos*

Facilidades Deterioro o daño de la infraestructura física de los edificios principales del Conglomerado Financiero BCR (por ejemplo Oficinas Centrales, Aranjuez, EBAE, Edificio Cordillera, etc.) o un 10% o más de las Oficinas Comerciales. Ya sea por un evento natural (tormenta, sismo, incendio, etc.) o provocado por el hombre de forma accidental o intencionalmente*

Daños en la infraestructura física que causen contaminación interna en los edificios y condiciones insalubres para los clientes y empleados (problemas de aguas negras, aires acondicionados o líquidos tóxicos)*

Otros incidentes El evento es considerado como emergencia nacional por parte de la Comisión Nacional de Emergencias (según Ley N°8488 en su artículo 29) y afecta directamente el edificio de BCR



SAFI (Oficentro Torre Cordillera o cierre de oficinas del BCR de zonas con la mayor cantidad de inversionistas

Materialización de los riesgos identificados en el Análisis de Riesgos de Continuidad de Negocio*.

Tabla 3. Criterios de activación del BCP Fuente: Jefatura de Riesgo y Control Normativo, BCR SAFI S.A.

Nota: Es importante indicar que para la activación debe considerarse que los costos de activación de la contingencia no superen a los ingresos esperados o que el nivel del riesgo sea superior al mínimo tolerable.

1. Comunicación de los procedimientos y tiempos de respuesta

A partir de la declaración de desastre o de la activación del BCP debe garantizarse la comunicación entre los grupos responsables, de manera que la recuperación de los procesos críticos sea más efectiva y el impacto de la crisis sea menor. Es por esto que es importante definir el flujo de comunicación de activación de los procedimientos de contingencia que son parte de este plan, a continuación se muestra el organigrama de comunicación con el flujo respectivo.


Ilustración 3 Flujo de comunicación para el BCP

Fuente: Jefatura de Riesgo y Control Normativo, BCR SAFI S.A.

Importante agregar que el objetivo de este flujo es lograr comunicar a los grupos relacionados sobre la activación de la contingencia asociados a los procesos críticos de la Sociedad y la orden de ejecutar los procedimientos de continuidad desarrollados. Para garantizar que la comunicación sea efectiva se definen tiempos de respuesta para cada nivel, en la siguiente tabla se indican dichos tiempos:

Grupo Perfiles responsables Acción realizada Tiempo máximo

de comunicación



de comunicación

Gerencia General1 o

Comité de Crisis

Según anexo1 de las Disposición administrativa para la continuidad del negocio en el Conglomerado Financiero BCR o Gerente General de BCR SAFI

Declaración de Crisis y Activación del BCP de

BCR SAFI 5 minutos

Gerencia de Negocios y Proyectos

Gerente de Negocios y Proyectos

Confirmación de recepción del comunicado de declaración de crisis y comunicación de ejecución de los procedimientos de continuidad

10 minutos

Gerencia Financiera Administrativa

Gerente Financiero Administrativo

Confirmación de recepción del comunicado de declaración de crisis y comunicación a los interesados

10 minutos

Jefatura Administrativa Jefe Administrativo Esperar las indicaciones de la Gerencia Financiera Administrativa

15 minutos

Jefatura de Gestión Financiera

Jefe de Gestión Financiera

Esperar las indicaciones de la Gerencia Financiera Administrativa

15 minutos

Jefatura de Tecnologías de Información

Jefe de Tecnologías de Información

Aseguramiento de la disponibilidad y/o recuperación del aplicativo (software) crítico

15 minutos

1 La activación del plan es realizada ya sea por la Gerencia General de BCR SAFI si la situación es local o por el Comité de Crisis si es una situación que afecta al Conglomerado Financiero BCR.



de comunicación

Supervisor Comercial Supervisor Comercial Activar procedimientos de continuidad

15 minutos

Gestor Comercial Gestor Comercial Ejecutar procedimientos de continuidad

25 minutos

Promotor Comercial de servicio al cliente

Promotor Comercial de servicio al cliente

Ejecutar procedimientos de continuidad

25 minutos

Tabla 4. Tiempos máximos de comunicación


Vll. Procedimientos de continuidad

Una vez controlada la situación de crisis, se procede a la evaluación del desastre, considerando el impacto en personas, infraestructura y comunicaciones. Una vez activado el plan y para brindar la continuidad del negocio, se definieron procedimientos de contingencia que permiten continuar con la operación de una forma degradada para los procesos críticos definidos en el alcance.

Para el proceso crítico que se encuentra dentro del alcance de este plan existe un procedimiento de contingencia y un procedimiento de restauración (el cual corresponde a la operación en condiciones normales), además de las tareas a realizar se incluye la siguiente información:

Diagrama de procedimiento

Procedimiento documentado (prosa)

Recursos mínimos necesarios

Roles y responsabilidades del personal crítico. Los diagramas son de la siguiente forma:


Ilustración 4. Ejemplo de diagrama


Para detallar las acciones que se realizan en el procedimiento de contingencia del proceso crítico, se presentará un diagrama bajo la notación BPMN (desarrollado con la herramienta Bizagi). Además, se posee con el procedimiento en prosa alineado a los estándares del BCR.

A continuación se presenta una tabla la cual detalla la explicación de la simbología utilizada en la diagramación de los procedimientos:


En el momento de la activación del plan, éstas son las actividades que cada proceso crítico debe ejecutar con el personal y los recursos identificados.


Vlll. Priorización de la recuperación de las funciones críticas

La priorización de recuperación de los procesos críticos, está basada en el tiempo máximo tolerable de interrupción, (RTO) de cada proceso según BIA. Cuando se incluyan más procesos críticos a este plan es importante establecer el orden de la recuperación, en el caso que dos procesos tengan igualdad de condiciones, los recursos humanos o suministros para su recuperación, deberá ser asignados primero al proceso que tenga mayor prioridad en función de dependencia de otros procesos, para efectos de este plan solo se incluye el proceso crítico catalogado como muy crítico en el BIA de BCR SAFI. En el anexo 2: Funciones críticas de BCR SAFI, según BIA se muestra el detalle delos procesos críticos identificados para BCR SAFI, producto de la aplicación del BIA. 1. Procedimientos de contingencia Para la ejecución de los procesos críticos en contingencia debe de contarse con el personal crítico identificado el cual está inscrito en la herramienta para este fin llamada Fact24 y en caso de ausencia se debe contactar y coordinar con el personal de respaldo. La información y el detalle del personal crítico y sus suplentes están definidos en el árbol de llamadas o Fact24.

2. Procedimientos de retorno a la normalidad

En el caso de este proceso crítico, el procedimiento de reanudación consiste en la operación normal. Es decir el proceso crítico no deja de ejecutarse en caso de contingencia, por lo que no se requiere de un procedimiento de reanudación.

3. Requisitos y recursos

Para la ejecución de los procesos críticos debe tener no solo con el personal crítico (ya sea principal o de respaldo) debidamente capacitado, sino, también con una serie de recursos mínimos. Estos recursos se obtuvieron del BIA y de los talleres realizados para el desarrollo de los procedimientos de contingencia. En la siguiente tabla se indica el resultado de la suma de los recursos mínimos necesarios, los cuales deben estar disponibles para poder ejecutar los procesos críticos indicados en el alcance.


Recurso Cantidad Recusro Cantidad

Personal Necesario 6 Televisores 0

Espacios de Oficina 4 Proyectores 0

Teléfonos 2 Fotocopiadora 0

Fax 1 Computadoras 4

Radios de Comunicación 1 Mensajería Si

Multifuncional 1 Vehículos 0

Acceso a Sistemas Safi.net, Intranet BCR SAFI,

BCR Clientes, SICC,

Internet, VPN, Exportador ,

Portafolio Safi

Dependencias

( internas o Externas)

Jefatura Comercial,

Jefatura Administrativa,

Jefatura de Gestión

Financiera, Jefatura de

Tecnologías de la

Información

Formularios, Plantillas,

Excel, Procedimientos Motocicletas 0

Perfil del Inversionista,

Prospectos, Formularios

de apertura de fondos,

Orden de Suscripción,

28CH Comprobante de

envió de efectivo y valores

Tabla 6. Recursos mínimos Fuente: Jefatura de Riesgo y Control Normativo, BCR SAFI S.A. 4. Roles y responsabilidades del personal involucrado

Para lograr el funcionamiento y aplicación de este plan, es necesaria la definición de roles y responsabilidades para los diferentes grupos que son parte de la Continuidad de Negocio. Es muy importante tener claro que se necesita el apoyo de parte del Comité de Crisis y de la alta administración de BCR SAFI por su autoridad en la toma de decisiones, tanto para el accionar como para los temas relacionados con gastos en medio de una crisis.

Los grupos o roles involucradas para este plan son:

Comité de Crisis o Gerencia General de BCR SAFI

Gerencia de Negocios y Proyectos

Gerencia de Gestión Financiera

Jefatura de Riesgo y Control Normativo

Grupos de apoyo en crisis de BCR (Tecnología, Obras civiles, Seguridad y Salud Ocupacional)


A continuación se detallan los roles y responsabilidades de las áreas involucradas:

Rol Responsabilidades

Comité de Crisis o Gerencia General

Presentarse en los centros de mando definidos (si no es posible desplazarse mantenerse en constante comunicación con los demás miembros del Comité).

Realizar la evaluación preliminar del daño (origen, impacto y consecuencias).

Toma de decisiones y aprobación de inversiones durante la crisis.

Identificar el riesgo para el negocio.

Emitir la declaración del desastre (si se cumple algún criterio de activación).

Obtener la información real y completa del historial del incidente presentado y las acciones realizadas.

Dirigir los esfuerzos globales de recuperación y de comunicación interna y externa (Plan de Comunicación en Crisis o Árbol de llamadas).

Delegar a los grupos de apoyo las tareas necesarias para la recuperación.

Jefatura de Riesgo y Control Normativo

Recopilar la información necesaria del incidente presentado y las acciones efectuadas

Obtener una lista de servicios y procesos críticos afectados.

Mantener comunicación con las áreas afectadas del BCR durante la crisis, en caso, que haya.

Garantizar la ejecución de los procedimientos de contingencia.

Brindar información de la crisis al BCR si fuese necesario.

Jefatura de Gestión Financiera Estar pendientes y realizar las indicaciones dadas por el Gerente General y/ o la Jefatura de Riesgo y Control Normativo (responsable de la Continuidad de Negocio de BCR SAFI)

Gerencia de Negocio y Proyectos y supervisor comercial.

Dirigir la ejecución del procedimiento de continuidad del proceso crítico.

Dar seguimiento a las acciones indicadas por el Gerente General y/ o la Jefatura de Riesgo y Control Normativo (responsable de la Continuidad de Negocio de BCR SAFI).

Grupos de apoyo en crisis (Tecnología, Obras civiles,

Salvaguardar la vida humana de los clientes y colaboradores (Salud


Rol Responsabilidades

Seguridad y Salud Ocupaci0nal) Ocupacional).

Mantener el enfoque en la recuperación de los procesos críticos del BCR de acuerdo a su área de especialización (tecnología, estructura física y seguridad)

Tabla 7. Roles y responsabilidades


5. Interacciones e interdependencias internas y externas

Como parte de la activación del BCP, es importante considerar cuáles son las interdependencias que existen tanto a nivel interno como a nivel externo, en el siguiente organigrama se visualiza la interacción que debe existir en el momento de activación de este plan.


Clientes externos

Ilustración 5. Interdependencias internas y externas


Los cuadros celestes indican que la interacción es con el Conglomerado Financiero BCR y los cuadros color amarillo con línea de contorno punteada son las entidades externas al Conglomerado Financiero BCR.

Nota: En caso de una situación de emergencia, en el momento de comunicarse con los contactos externos específicos de Comisión Nacional de Emergencia, Cruz Roja, Bomberos y Fuerza Pública, el enlace primario debe ser la Gerencia de Seguridad del BCR (Z1) quienes son los responsables de coordinarse con los


contactos externos anteriores. En caso de que no se pueda canalizar por medio de la Gerencia de Seguridad se puede utilizar la comunicación por medio de Salud Ocupacional.

6. Propietario y mantenimiento del plan El propietario de este plan es la Jefatura de Riesgo y Control Normativo de BCR SAFI, los cuales tienen la responsabilidad de revisar, modificar y actualizar el documento, las actualizaciones y modificaciones de los procedimientos de contingencia deben de realizarse en coordinación con el área dueño del proceso crítico. La Jefatura de Riesgo y Control Normativo de BCR SAFI, en coordinación con los actores involucrados en la gestión de continuidad de negocio en la Sociedad, realizará al menos cada dos años un diagnóstico que permita evaluar el avance de la gestión en la Sociedad, y con ello constatar el nivel de madurez en que se encuentra. El resultado del diagnóstico servirá de referencia para proponer los pasos a seguir, con el fin de determinar las acciones preventivas que deben implementarse y de esta forma avanzar progresivamente hacia niveles óptimos de madurez en esta materia. El diagnóstico se hará mediante la aplicación del instrumento que defina la Jefatura de Riesgo y Control Normativo de BCR SAFI.


Anexo 1.

Comercialización de fondos de inversión La ejecución del procedimiento de continuidad para este proceso crítico, es realizada por los funcionarios comerciales de las oficinas del BCR, por lo tanto este procedimiento se encuentra incluido en el Plan de Continuidad de Negocio del BCR. Adicionalmente los temas de publicación y mantenimiento deben de realizarse en conjunto entre la oficina de Continuidad del BCR y la Jefatura de Riesgo y Control Normativo de BCR SAFI.

Anexo 2

Procesos críticos de BCR SAFI

Los funcionarios que ejecutan los procesos identificados en el plan corresponden a los procesos críticos definidos desde el Análisis de Impacto en el Negocio (BIA) de BCR SAFI, éstos se encuentran inscritos en la herramienta Fact24 que es un sistema automatizado para la activación de árboles de llamada, que permite la comunicación con personal crítico del Conglomerado Financiero BCR. Con esta herramienta, se es capaz de enfrentar y dar pronta respuesta a posibles eventualidades y contingencias propias del negocio.


Proceso Justificación de Criticidad

Tiempo Máximo

Tolerable de

Interrupción

Impacto

Comercialización de

Fondos Financieros

EL cliente debe poder hacer

inversiones y retiros cuando

guste y hay horarios

establecidos tanto para

pagar como para cobrar las

inversiones

Mayor a 1 hora y hasta 4

horas

Impacto Cualitativo: Servicio al cliente deficiente,porque no se pueda realizar la apertura del fondo por

carencia de información, que se brinde de forma

errónea por no tener acceso a los sistemas o bien que

el tiempo de respuesta no se encuentre acorde con los

estándares acostumbrados, por una alta demanda.

Impacto Cuantitativo: Puede existir inconformidadde clientes y debido a esto no realicen sus inversiones,

el monto sería variable.

Impacto Legal o Regulatorio: La Sociedad podríaverse sancionada por el ente regulador debido a una

asesoría errónea.

Apoyo al Inversionista

La no atención de clientes

genera inseguridad y podría

afectar directamente en la

reputación de la Sociedad.


horas

Impacto Cualitativo: Servicio al cliente deficiente,porque no se pueda realizar la apertura del fondo por

carencia de información, que se brinde de forma

errónea por no tener acceso a los sistemas o bien que

el tiempo de respuesta no se encuentre acorde con los

estándares acostumbrados, por una alta demanda.

Impacto Cuantitativo: Puede existir inconformidadde clientes y debido a esto no realicen sus inversiones,

el monto sería variable.


asesoría errónea.

Jefatura Comercial



Tiempo Máximo

Tolerable de

Interrupción

Impacto

Apoyo Cartera Inmobiliaria

No se podría realizar el

cierre de la cartera activa, el

cual genera el insumo para

el cierre de contabilidad.

Mayor a 4 horas y hasta 1

día

Impacto cualitativo: No se puede realizar el cierre dela cartera activa, el cual genera parte de los insumos

para el cierre contable de los Fondos, generando este

un valor participación, el cual se convierte en el

rendimiento de los inversionistas.

Impacto cuantitativo: Imposibilidad de suministrardatos reales


asesoría errónea.

Soporte Cartera Financiera

No se podría realizar el

cierre de la cartera activa, el

cual genera el insumo para

el cierre de contabilidad.


día




rendimiento de los inversionistas. Impacto

cuantitativo Imposibilidad de suministrar datosreales

Intrucciones de Clientes

No se puede realizar el cierre

de operación el cual es

insumo para el cierre de

contabilidad.


día




rendimiento de los inversionistas. Impacto

cuantitativo: Interrupción del crecimiento de lossaldos administrados, por ende una disminución en los

ingresos por comisiones

Contabilidad

No se puede realizar el cierre

de operación el cual es

insumo para el cierre de

contabilidad.


día

Impacto cualitativo: El cierre contable es que proceso que determina el valor de la participación, el cual se

convierte en el rendimiento de los inversionistas.

Impacto

cuantitativo: Interrupción del crecimiento de lossaldos administrados, por ende una disminución en

los ingresos por comisiones.

Jefatura Administrativa



Tiempo Máximo

Tolerable de

Interrupción

Impacto

Administración de Carteras

Financieras

De este depende la l iquidez y

el rendimiento de los fondos

financieros.


horas

Impacto cualitativo: El impacto se percibe a nivel dela no ejecución de las labores correspondientes a la

administración en sí de las carteras y todo lo que

conlleva, como el manejo de la liquidez de los fondos,

inversiones, la rentabilidad asociada, el impacto

podría ocasionar la corrida de clientes, afectando el

riesgo reputacional de BCR SAFI.

Impacto cuantitativo: La no ejecución del subproceso de administración de carteras puede ocasionar un

impacto patrimonial producto de la afectación en el

volumen de los saldos administrados, conllevando una

disminución de los ingresos, como consecuencia del no

cobro de comisiones por la administración de los

distintos fondos de inversión financieros. La pérdida

diaria por el no cobro de comisiones oscila para los

fondos en colones en *¢6.502.000.00 y para los fondos

denominados en dólares la suma de **US$3.700.00.

Impacto Regulatorio o Legal:Si se supera el plazoindicado a nivel del prospecto de cada fondo y si el

mismo no es comunicado a la entidad supervisora

puede acarrear sanciones a la sociedad por parte del

ente regulador.

Administración del Flujo

de Caja

De este depende conocer la

posición diaria si es

superavitaria o deficitaria y

de sus movimientos durante

el día, lo que afectaría la

rentabilidad de los fondos de

Inversión administrados por

BCR SAFI.


horas

Impacto Cualitativo:El impacto se percibe a nivel dela no correcta ejecución del proceso de administración

de carteras, derivándose en problemas con el manejo

de la liquidez de los fondos, inversiones, generando

afectación a la rentabilidad asociada a cada

portafolio, este impacto podría ocasionar el retiro de

los clientes, afectando la imagen de BCR SAFI

Impacto Cuatitativo: La no ejecución del subprocesode administración del flujo de caja, tiene una

afectación directa en la correcta administración de las

carteras, esto puede conllevar en la generación de un

impacto patrimonial producto de la afectación en el

volumen de los saldos administrados, como

consecuencia de una disminución de los ingresos,

producto del no cobro de comisiones por la

administración de los distintos fondos de inversión

financieros.

La pérdida diaria por el no cobro de comisiones oscila

para los fondos en colones en *¢6.502.000.00 y para

los fondos denominados en dólares la suma de

**US$3.700. 00

Generación de la

Información (flujo de caja)

Inicia la gestión de fondos de

inversión financieros de la

cual dependen la liquidez y

los rendimientos de los

fondos financieros.


horas

Impacto Cualitativo:La no generación del flujo decaja imposibil ita la ejecución del subproceso de

administración de carteras financieras,

desencadenando los impactos que indicados para esta

actividad.

Impacto Cuantitativo: La no ejecución de lageneración del flujo de caja produce un impacto

patrimonial, dado por la afectación en el volumen de

los saldos administrados, que se refleja en una

disminución de los ingresos, como consecuencia del no

cobro de comisiones por la administración de los

distintos fondos de inversión financieros.

La pérdida diaria por el no cobro de comisiones oscila

para los fondos en colones en *¢6.502.000.00 y para

los fondos denominados en dólares la suma de

**US$3.700. 00

Jefatura de Gestión Financiera



Tiempo Máximo

Tolerable de

Interrupción

Impacto

Administración del Flujo de

Caja

Indica la liquidez de los

fondos para hacerle frente a

las obligaciones.

Mayor a 2 días y hasta 4

días

Impacto cualitativo:Un incumplimiento en el pago alos proveedores por falta de liquidez puede producir

pérdida de confianza, y credibilidad por parte de los

proveedores, que eventualmente provocarían perdida

de socios comerciales. Impacto

cuantitativo: El impacto en este caso esincuantificable puesto a que depende de muchas

variables.

Impacto Legal o Regulatorio: La sociedad podríaverse perjudicada por una mala administración de los

fondos de inversión.

Jefatura Gestión Inmobiliaria

Firmado digitalmente:

Rosnnie Díaz Méndez Gerente General BCR SAFI S.A; a.i.

Modificaciones Aprobado por: Gerencia General BCR SAFI S.A. Rige a partir de: 20 de diciembre del 2018 Elaborado por: Especialista de Riesgo Operativo – Continuidad del Negocio BCR SAFI, German Navarro Oliver. Revisado por: Supervisor de Riesgo y Control Normativo BCR SAFI S.A.; Michael Muñoz Leiva. Analista de Control Interno, Natalie Salguero Arias. Validado por: Jefe de Riesgo y Control Normativo BCR SAFI S.A; Gonzalo Umaña Vega. Comunicado por: Normativa Interna BCR SAFI S.A.

PARA TODOS LOS EFECTOS LEGALES Y ADMINISTRATIVOS, EL DOCUMENTO ORIGINAL SE ENCUENTRA BAJO LA RESPONSABILIDAD Y CUSTODIA DE LA OFICINA DE BCR SAFI S.A.

plan de continuidad del negocio de bcr...

Documents