¿Para qué sirve la SUGEF?

Según la página web de la SUGEF, estas son sus funciones principales:

• Velar por la estabilidad, la solidez y el funcionamiento eficiente del sistema financiero nacional.
• Supervisar las operaciones y actividades de las entidades bajo su ámbito de acción.
• Proponer al Conassif las normas generales que sean necesarias para el establecimiento de prácticas bancarias sanas.
• Calificar a los intermediarios financieros en función de aspectos relacionados con gobierno corporativo, gestión de riesgos, situación financiera y económica, legal o de operaciones y cumplimiento legal y regulatorio, entre otros.
• Supervisar las operaciones de los entes autorizados por el Banco Central de Costa Rica a participar en el mercado cambiario.
• Promover las normas generales y directrices que estime necesarias para velar por la estabilidad, solvencia y transparencia de las operaciones de las entidades fiscalizadas.
• Presentar informes de sus actividades de supervisión al Conassif.
• Cumplir con cualesquiera otras funciones y atributos que le correspondan, de acuerdo con las leyes, reglamentos y demás disposiciones atinentes.

El 3 de mayo del 2022 se le hicieron las siguientes solicitudes de información al acerca de las estafas bancarias que se están dando en el país:

1-Reporte de cantidad de fraudes reportados de bancos privados y públicos desglosados de la siguiente forma:

Respecto a esta información la SUGEF no lleva registros con el detalle solicitado por lo que se adjunta imagen con el cuadro de las quejas recibidas sobre los temas relacionados con fraudes “delitos cibernéticos”, de que se dispone SUGEF.

2-Protocolos mínimos o recomendados de seguridad que deben de implementar los bancos privados y públicos en el sistema bancario por medio de Internet para realizar transacciones por la web y aplicaciones de dispositivos móviles.

Primero, lo consultado se encuentra dentro del perímetro del riesgo operativo, así definido en el Artículo 3 del Reglamento sobre administración integral riesgos, Acuerdo SUGEF 2-10:

Riesgo operativo: Posibilidad de sufrir pérdidas económicas debido a la inadecuación o a fallos de los procesos, el personal y los sistemas internos o bien a causa de acontecimientos externos. Esta definición incluye el riesgo legal y el riesgo de tecnologías de información, pero excluye el riesgo estratégico y el de reputación.’

Segundo, lo consultado corresponde a la gestión del riesgo operativo y de tecnologías de la información, lo cual compete a las instituciones financieras reguladas por la SUGEF, observando lo siguiente. De un lado, las Políticas para la gestión del riesgo operativo debidamente aprobadas por el Órgano de Dirección. De otro lado, la regulación emitida por la SUGEF, principalmente el Reglamento sobre administración integral riesgos, Acuerdo SUGEF 2-10; y el Reglamento General de Gestión de la Tecnología de Información, Acuerdo SUGEF 14-17.

Finalmente, tomar en consideración que ‘Los sujetos supervisados deberán someterse a una auditoría externa financiero-contable anual. Adicionalmente, en los casos en que una norma lo solicite, se deben someter a una auditoría externa de tecnologías de la información (TI), según se establece en el Reglamento General de Gestión de la Tecnología de Información […]’, Artículo 3. Auditoría Externa, Reglamento General de Auditores Externos, Acuerdo SUGEF 32-10.

Dentro de los Requisitos Generales, Artículo 5 del Acuerdo SUGEF 32-10, se requiere que: ‘La firma de auditoría externa, el socio responsable, el encargado del equipo, así como el auditor externo independiente y los miembros del equipo de auditoría deben cumplir los siguientes requisitos: […]

d) Para el caso de las auditorías de TI, el encargado del equipo, así como el auditor externo independiente, deben contar con un Certificado CISA vigente (Auditor Certificado de Sistemas de Información por sus siglas en inglés Certified Information Systems Auditor), de la Asociación de Auditoría y Control de los Sistemas de Información (ISACA). […]

f) Para el caso de los auditores de TI, el encargado del equipo en una firma de auditoría externa o el auditor externo independiente, deben reunir los requisitos y experiencia profesional de cinco años establecidos por las regulaciones emitidas por [ISACA].‘

Recordar que el ‘El supervisor solicitará a las entidades supervisadas la contratación de una auditoría externa de TI sobre el marco de gestión de TI y su aplicación, lo anterior según se determine en el alcance de la auditoría definido por el supervisor.  El intervalo entre una y otra solicitud no puede ser menor a dos años ni mayor a cuatro años, excepto, cuando el supervisor considere, con base en los resultados de la supervisión, la necesidad de adelantarla.

La auditoría externa de TI debe cumplir con el ciclo de auditoría de TI conforme a las Normas de Auditoría y Aseguramiento de Sistemas de Información emitidas por ISACA.’ (Artículo 11. Auditoría de las Tecnologías de Información, Acuerdo SUGEF 32-10).

Por último, recordar que ISACA es el acrónimo de Information Systems Audit and Control Association, una asociación internacional que apoya y patrocina el desarrollo de metodologías y certificaciones para la realización de actividades de auditoría y control en sistemas de información.

3-Información que deben de brindar los bancos privados y públicos para educar a sus usuarios sobre los diversos métodos de estafas, la definición de los mismos, cómo evitarlas, los medios de comunicación o difusión a utilizar, la frecuencia con la que deben de informar.

Como se mencionó previamente, la administración del riesgo operativo es responsabilidad de las instituciones financieras. Concretamente, lo consulta debería de ser parte de, entre otras cosas, ‘b) Las pautas generales que observará la entidad en el manejo del riesgo operativo.’, el cual es uno de los aspectos mínimos que deben de considerar las Políticas para la gestión del riesgo operativo, Artículo 74 del Reglamento sobre Gestión Integral de Riesgos, Acuerdo SUGEF 2-10, que deben ser aprobadas por el Órgano de Dirección.

4-El respaldo que deben de brindar los bancos privados y públicos ante fraudes realizados a sus clientes.

Como se indicó en la consulta anterior, la administración del riesgo operativo es responsabilidad de las instituciones financieras. Concretamente, lo consulta debería de ser parte de, entre otras cosas, ‘b) Las pautas generales que observará la entidad en el manejo del riesgo operativo.’, el cual es uno de los aspectos mínimos que deben de considerar las Políticas para la gestión del riesgo operativo, Artículo 74 del Reglamento sobre Gestión Integral de Riesgos, Acuerdo SUGEF 2-10, que deben ser aprobadas por el Órgano de Dirección.

5-Motivos por los que se detectan transferencias electrónicas y compras cómo presunto fraude.

 Se le recomienda consultar directamente a las entidades o al Ministerio Público.

6-Límite de monto de transferencias diarias permitidas por medios electrónicos antes de que se consideren cómo presunto fraude.

Los umbrales máximos del monto de transferencias diarias por medios electrónicos antes de que se consideren como presunto fraude lo definen las instituciones financieras dentro de sus políticas. Lo anterior observando lo indicado en los artículos 53 y 54 del Reglamento para la prevención del riesgo de legitimación de capitales, financiamiento del terrorismo y de la proliferación de armas de destrucción masiva, Acuerdo SUGEF 12-21

7-Quería saber si los bancos públicos y privados deben de implementar protocolos mínimos de seguridad para asegurar las transacciones que se realicen por medios electrónicos y que salvaguarden los ahorros de sus clientes ante el error humano. Si es así me podrían indicar qué protocolos de seguridad deben de implementar.

El marco regulatorio vigente establece en dos Reglamentos las sanas practicas sobre seguridad de la información que representan las expectativas que tiene el supervisor sobre este tema y que se detallan a continuación:

1. Acuerdo SUGEF 2-10 Reglamento sobre Administración Integral de Riesgos

“Artículo 81. Seguridad de la información

La entidad debe contar con un sistema de gestión de la seguridad de la información, orientado a garantizar la integridad, confidencialidad y disponibilidad de la información. Para ello, debe cumplir como mínimo con los requerimientos establecidos en el Reglamento General de Gestión de la Tecnología de Información, Acuerdo SUGEF 14-17.

Asimismo, con el propósito de resguardar la calidad de la información, su confidencialidad, integridad y disponibilidad, la entidad debe contar con políticas y procedimientos de gestión y seguridad de la información, que consideren entre otros aspectos:

a)La autenticación para el acceso lógico a los sistemas y servicios informáticos internos y externos.

b)La conservación ordenada, completa, integra, oportuna de la información y documentación (registros) que soporta las operaciones de la entidad.

c)La divulgación y uso no autorizado de información confidencial o protegida por ley.”

• También el Acuerdo SUGEF 14-17 Reglamento General de Gestión de la Tecnología de Información incorpora la evaluación del proceso 2.12 “Gestionar la Seguridad”, el cual requiere que las entidades deben “Definir, operar y supervisar un sistema para la gestión de la seguridad de la información. Mantener el impacto y ocurrencia de los incidentes de la seguridad de la información dentro de los niveles de apetito de riesgo de la empresa.”

En línea con lo anterior, la Superintendencia solicita a las entidades supervisadas la contratación de una auditoría externa de TI sobre los procesos del marco de gestión de TI y su aplicación, cuyos resultados determinan los hallazgos y riesgos que deben ser atendidos por la entidad supervisada, así como la estrategia y actividades de seguimiento que se realizarán por parte del supervisor.

Rocío Aguilar Montoya

Superintendente General

Compartir artículo en:

• Share on Facebook
• Share on WhatsApp
• Share on Telegram
• Email this Page
• Email this Page
• Share on LinkedIn