NRP-24 BCR

CNBCR-07/2020
NRP-24
Aprobación: 14/04/2020 NORMAS TÉCNICAS PARA EL SISTEMA DE GESTIÓN DE LA CONTINUIDAD DEL
NEGOCIO
Vigencia: 01/07/2020
EL COMITÉ DE NORMAS DEL BANCO CENTRAL DE RESERVA DE EL SALVADOR,
CONSIDERANDO:
I. Que de conformidad al artículo 2, inciso segundo de la Ley de Supervisión y Regulación del

Sistema Financiero, para el buen funcionamiento del Sistema de Supervisión y Regulación
Financiera se requiere que los integrantes del sistema financiero y demás supervisados cumplan
con las regulaciones vigentes y la adopción de los más altos estándares de conducta en el
desarrollo de sus negocios, actos y operaciones, de conformidad a lo establecido en la referida
Ley, en las demás leyes aplicables, en los reglamentos y en las normas técnicas que se dicten
para tal efecto.
II. Que el artículo 7 de la Ley de Supervisión y Regulación del Sistema Financiero, establece las
entidades que están sujetas a la supervisión de la Superintendencia del Sistema Financiero.
III. Que de conformidad al artículo 35, inciso primero y literal d) de la Ley de Supervisión y Regulación
del Sistema Financiero, los directores, gerentes y demás funcionarios que ostenten cargos de
dirección o de administración en los integrantes del sistema financiero, deben conducir sus
negocios, actos y operaciones cumpliendo con los más altos estándares éticos de conducta y
actuando con la diligencia debida de un buen comerciante en negocio propio, estando obligados
a cumplir y a velar por que en la institución que dirigen o laboran se cumpla con la adopción y
actualización de políticas y mecanismos para la gestión de riesgos, debiendo entre otras acciones,
identificarlos, evaluarlos, mitigarlos y revelarlos acordes a las mejores prácticas internacionales.
IV. Que de conformidad al artículo 99, literales a) y g) de la Ley de Supervisión y Regulación del
Sistema Financiero, el Banco Central de Reserva de El Salvador es la institución responsable de
la aprobación de normas técnicas relativas a la gestión de riesgos por parte de los supervisados,
así como aquellas en las que se definan las condiciones mínimas que deben reunir físicamente
los locales, sus medidas de seguridad, lo relativo a la conservación y archivo de documentación
de los integrantes del sistema financiero.
V. Que los estándares internacionales sugieren, entre otras actividades de buenas prácticas, guías
amplias en materia de continuidad de negocio, con la descripción de los métodos, técnicas y
enfoques utilizados en todo el mundo para desarrollar, implementar y mantener un sistema eficaz
de gestión de continuidad del negocio.
VI. Que es conveniente que las entidades gestionen adecuadamente los riesgos a los que están
expuestos los diferentes procesos y actividades que realizan, de manera que garanticen la
continuidad del negocio, velando por una gestión eficiente del riesgo operacional.
Alameda Juan Pablo II, entre 15 y 17 Av. Norte, San Salvador, El Salvador.
Tel. (503) 2281-8000 Página 1 de 13
www.bcr.gob.sv
CNBCR-07/2020
NRP-24
NEGOCIO
POR TANTO,
en virtud de las facultades normativas que le confiere el artículo 99 de la Ley de Supervisión y

Regulación del Sistema Financiero,
ACUERDA, emitir las siguientes:
NORMAS TÉCNICAS PARA EL SISTEMA DE GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO
CAPÍTULO I
OBJETO, SUJETOS Y TÉRMINOS
Objeto
Art. 1.- Las presentes Normas tienen como objeto establecer las disposiciones mínimas que deben
considerar las entidades para establecer un Sistema de Gestión de la Continuidad del Negocio y
criterios para la adopción de políticas, planes, metodologías y procedimientos acordes a las mejores
prácticas internacionales, el tamaño, naturaleza de sus operaciones, segmentación de negocios y la
complejidad organizacional de cada entidad y, de esta forma, fortalecer su gestión de riesgos
operacionales.
Sujetos
Art. 2.- Los sujetos obligados al cumplimiento de las disposiciones establecidas en las presentes
Normas son:
a) Los bancos constituidos en El Salvador, sus oficinas en el extranjero y sus subsidiarias; las
sucursales y oficinas de bancos extranjeros establecidos en el país;
b) Las sociedades que, de conformidad con la Ley, integran los conglomerados financieros, o que la
Superintendencia del Sistema Financiero declare como tales, lo que incluye tanto a sus sociedades
controladoras como a sus sociedades miembros;
c) Las instituciones administradoras de fondos de pensiones y los fondos que administran;
d) Las sociedades de seguros constituidas en el país, sus sucursales en el extranjero, las sucursales
de sociedades de seguros extranjeras establecidas en el país y las Asociaciones Cooperativas de
Seguros constituidas en el país, en lo que no contradiga su respectiva Ley;
e) Las bolsas de valores, las casas de corredores de bolsa, las sociedades especializadas en el
depósito y custodia de valores, las clasificadoras de riesgo y los agentes especializados en
valuación de valores;
f) Los bancos cooperativos, las sociedades de ahorro y crédito y las federaciones reguladas por la
Ley de Bancos Cooperativos y Sociedades de Ahorro y Crédito;
g) Las sociedades de garantía recíproca y sus reafianzadoras locales;
h) Las sociedades que ofrecen servicios complementarios a los servicios financieros de los
integrantes del sistema financiero, en particular aquellas en los que participen como inversionistas;
i) Las sociedades administradoras u operadoras de sistemas de pagos y de liquidación de valores;
Tel. (503) 2281-8000 Página 2 de 13
www.bcr.gob.sv
CNBCR-07/2020
NRP-24
NEGOCIO
j) El Fondo Social para la Vivienda y el Fondo Nacional de Vivienda Popular, en lo que no contradiga
a sus leyes de creación ni a lo dispuesto por la Corte de Cuentas;
k) El Instituto Nacional de Pensiones de los Empleados Públicos y el Instituto Salvadoreño del Seguro
Social, este último en lo relativo al Régimen de Riesgos Profesionales y reservas técnicas de salud;
l) El Instituto de Previsión Social de la Fuerza Armada;
m) El Banco de Fomento Agropecuario, el Banco Hipotecario de El Salvador, S.A. y el Banco de
Desarrollo de El Salvador;
n) Las titularizadoras y los fondos que administran;
o) Las bolsas de productos y servicios;
p) Las Gestoras de fondos de inversión y los fondos que administran;
q) Las Sociedades Proveedoras de Dinero Electrónico;
r) Las Agencias de Información de Datos; y
s) La Unidad de Pensiones del Instituto Salvadoreño del Seguro Social.
Términos
Art. 3.- Para efectos de las presentes Normas, los términos que se indican a continuación tienen el
significado siguiente:
a) Alta Gerencia: el Presidente Ejecutivo, Director Ejecutivo, Gerente General o quien haga sus veces
y los cargos ejecutivos que le reporten al mismo. Para el caso del Banco de Desarrollo de El
Salvador y del Instituto Nacional de Pensiones de los Empleados Públicos, el Presidente;
b) Amenaza: la causa potencial de un evento no deseado, que puede afectar la continuidad del
negocio;
c) Análisis de Impacto del Negocio (BIA, por sus siglas en inglés): proceso en el que se analizan
los procesos, las funciones y actividades del negocio y las consecuencias de una interrupción sobre
ellas;
d) Banco Central: Banco Central de Reserva de El Salvador;
e) Continuidad del Negocio: es la capacidad de una entidad para seguir ofreciendo sus productos o
servicios a niveles previamente definidos como aceptables después de un incidente de interrupción;
f) Cultura Organizacional: es el conjunto de actitudes, creencias, comportamientos, normas y
valores aceptados y aplicados cotidianamente por los miembros de una entidad en la interacción
entre sus miembros y en su interacción con el exterior;
g) Entidad: sujeto obligado al cumplimiento de las disposiciones de las presentes Normas, descrito
en el artículo 2 de las mismas;
h) Evento: ocurrencia o cambio de un conjunto particular de circunstancias;
i) Gestión de la Continuidad del Negocio: proceso de gestión integral que identifica amenazas,
potenciales a una entidad y el impacto que podrían causar a las operaciones del negocio, en caso
de materializarse. Este proceso provee un marco para construir la capacidad organizacional de
sobreponerse a un incidente de interrupción y ofrecer una respuesta efectiva, de tal manera de
salvaguardar los objetivos corporativos, reputación, marca y actividades de creación de valor;
j) Gestión de crisis: proceso mediante el cual una entidad afronta uno o varios eventos de
considerable magnitud que amenazan con afectar financiera, económica y reputacionalmente a la
Tel. (503) 2281-8000 Página 3 de 13
www.bcr.gob.sv
CNBCR-07/2020
NRP-24
NEGOCIO
entidad y partes interesadas, frente a sus clientes, usuarios o al público en general. Dichos eventos
podrían no implicar la disrupción de las operaciones de la entidad, tales como la difusión o
publicación de información que podría dañar la reputación de la misma;
k) Grupos de interés: personas u organizaciones que se ven impactadas por las operaciones de una
entidad. Ejemplos: empleados, clientes, deudores, socios del negocio, proveedores, accionistas,
instituciones gubernamentales, entre otros;
l) Incidente de interrupción: un evento que tiene la capacidad de generar una interrupción en los
productos o servicios que ofrece una entidad, el cual, de no ser gestionado apropiadamente, puede
ocasionar una emergencia, crisis o desastre. Se le conoce también como incidente disruptivo;
m) Junta Directiva: órgano colegiado encargado de la administración de la entidad, con funciones de
supervisión, dirección y control u órgano equivalente; para el caso de las Asociaciones
Cooperativas será el Consejo de Administración o según se defina en su Ley de creación;
n) Máximo Período Tolerable de Disrupción (MTPD, por sus siglas en inglés): es el tiempo que
le tomaría a impactos adversos volverse inaceptables para la entidad;
o) Objetivo Mínimo de Continuidad de Negocio (MBCO por sus siglas en inglés): es el mínimo
nivel aceptable de productos o servicios que una entidad debe ofrecer para alcanzar sus objetivos
durante un incidente de interrupción;
p) Plan de Continuidad del Negocio (BCP, por sus siglas en inglés): procedimientos
documentados que guían a las entidades para responder, recuperar y continuar con el negocio a
un nivel aceptable de operación predefinido, posterior a un incidente de interrupción y dentro de los
tiempos de recuperación predefinidos;
q) Proceso: se refiere al conjunto de procedimientos y actividades interrelacionadas y repetibles que
producen un resultado esperado;
r) Producto y servicio: resultados beneficiosos proporcionados por la entidad a servicios críticos,
clientes, deudores, destinatarios y otras partes interesadas;
s) Pruebas completas: ejecución de todos los planes y procedimientos de recuperación de la
organización completa. Evaluación de las capacidades alternas de operación en un ambiente
altamente estresado, sin que esto ponga en riesgo la prestación de productos y servicios por parte
de la entidad. Eventualmente, se podría involucrar a las entidades del sector público competentes.
t) Prueba(s): simulación de una interrupción de los procesos u operaciones para evaluar los
componentes de un plan (por ejemplo, tareas, equipos, personal, procedimientos, entre otros) con
el objetivo de comprobar si es viable y funcional. Dichas pruebas podrán ser como las siguientes:
i.De Escritorio: Método de ensayo para ejercitar los planes, en el que los participantes
revisan y discuten los planes de acción y procedimientos sin ejecutarlos, en un ambiente
seguro y libre de estrés. Puede llevarse a cabo con uno o varios equipos o departamentos.
Por lo general, requiere la guía de un facilitador;
ii. Simulaciones: su proceso implica utilizar una situación creada para validar la información
del plan, generando una respuesta teórica del incidente; y
iii. De Funciones: ejecución de los planes y procedimientos de recuperación de un área o línea
del negocio;
u) Punto Objetivo de Recuperación (RPO, por sus siglas en inglés): representa la máxima pérdida
Tel. (503) 2281-8000 Página 4 de 13
www.bcr.gob.sv
CNBCR-07/2020
NRP-24
NEGOCIO
de datos admisible para que continúe siendo factible reanudar una operación y es expresado en
unidades de tiempo de información perdida;
v) Servicios críticos: son los servicios y actividades prioritarios cuya no disponibilidad compromete
la existencia de la entidad;
w) Sistema de Gestión de la Continuidad del Negocio (SGCN): es parte del sistema general de
gestión que establece, implementa, opera, monitorea, revisa, mantiene y mejora la continuidad del
negocio. Es decir, brinda un método formal para poner en marcha la Gestión de la Continuidad del
Negocio y verificar que es efectivo y consistente con los niveles de continuidad definidos y la cultura
organizacional;
x) Superintendencia: Superintendencia del Sistema Financiero;
y) Tercerización de servicios: se produce cuando la entidad encarga la realización de un proceso a
un tercero, es decir, a una persona natural o jurídica distinta a la entidad; y
z) Tiempo Objetivo de Recuperación (RTO, por sus siglas en inglés): es el tiempo establecido
por la entidad para reanudar la entrega de un producto o servicio luego de un incidente de
interrupción. El RTO de cada producto, servicio, proceso o actividad es menor que el respectivo
Máximo Periodo Tolerable de Disrupción.
CAPÍTULO II
ROLES Y RESPONSABILIDADES
Gestión de la continuidad del negocio

Art. 4.- La Junta Directiva, la Alta Gerencia y el personal deben gestionar permanentemente la
continuidad del negocio de las entidades. La gestión de la continuidad del negocio de las entidades
debe ser adecuada a la naturaleza, tamaño y complejidad de las operaciones, productos y servicios
que ofrecen.
En tal sentido, las entidades deben contar con una estructura organizacional o funcional que delimite
claramente las funciones, roles y responsabilidades específicas asociadas a la continuidad del negocio,
así como los niveles de dependencia e interrelación que corresponde con cada una de las demás áreas
de la entidad.
Asimismo, cuando el tamaño y complejidad de las operaciones y servicios de la entidad lo amerite, la

función de continuidad del negocio podrá ser desempeñada por una unidad, área especializada o
persona a quien designe la Junta Directiva y que garantice su reporte a la misma.
Responsabilidades de la Junta Directiva

Art. 5.- La Junta Directiva será la responsable de establecer y mantener un Sistema para la Gestión
de la Continuidad del negocio, que permita a la entidad proteger a su personal, activos, mantener la
operación al mínimo aceptable al presentarse incidentes de interrupción y recuperar el nivel normal de
operaciones una vez se superen las fases de emergencia, por lo que debe realizar, como mínimo, lo
siguiente:
Tel. (503) 2281-8000 Página 5 de 13
www.bcr.gob.sv
CNBCR-07/2020
NRP-24
NEGOCIO
a) Aprobar las estrategias, políticas y manuales del Sistema para la Gestión de la Continuidad del
negocio de la entidad, y asegurarse que la Alta Gerencia los implemente efectivamente;
b) Aprobar la asignación de los recursos necesarios para establecer, implementar y mejorar la gestión
de la continuidad del negocio acordes a la estrategia de recuperación y continuidad definida; y
c) Asegurarse que el Sistema para Gestionar la Continuidad de Negocio está implementado y se
mantiene adecuado para cumplir sus objetivos, debiendo para ello, realizar como mínimo, lo
siguiente:
i. Conocer periódicamente resultados de las pruebas y evaluaciones del Sistema velando porque
que se incorporen las recomendaciones y oportunidades de mejora identificadas;
ii. Asegurarse de que Auditoría Interna verifique la existencia y el cumplimiento de la gestión de
la continuidad del negocio; y
iii. Conocer los resultados de la activación de los planes de continuidad posterior a la respuesta
de incidentes de interrupción, los ajustes y oportunidades de mejoras que deben implementar
para fortalecer la efectividad del SGCN.
Responsabilidades del Comité de Riesgos

Art. 6.- El Comité de Riesgos es el encargado de velar por una sana gestión de la continuidad del
negocio de la entidad, por lo que debe realizar como mínimo, lo siguiente:
a) Evaluar, revisar y proponer para aprobación de la Junta Directiva las estrategias, políticas y
manuales de continuidad del negocio de la entidad;
b) Aprobar los planes de continuidad del negocio;
c) Supervisar que la gestión de la continuidad del negocio sea efectiva y que se realice el análisis de
impacto al negocio, identificando y priorizando los procesos críticos de la entidad;
d) Aprobar el programa de pruebas de continuidad de negocio a propuesta de la unidad, área o
persona responsable de la gestión de la continuidad del negocio, recomendando acciones o
mecanismos adicionales para la planificación y ejecución de las mismas; asimismo efectuar un
seguimiento a la ejecución este y a los planes de acción o mejora que resulten;
e) Apoyar la labor de quien posea la función de continuidad de negocio en la implementación de la
gestión de continuidad del negocio; y
f) Efectuar el seguimiento de la gestión de continuidad del negocio.
Responsabilidades de la Alta Gerencia

Art. 7.- La Alta Gerencia será responsable de implementar el SGCN, para ello debe realizar al menos
las actividades siguientes:
a) Implementar las estrategias, políticas, manuales y planes de continuidad del negocio de la entidad,
de acuerdo con lo autorizado por la Junta Directiva y Comité de Riesgos;
b) Velar porque se realice y formule un programa de pruebas de continuidad del negocio;
c) Velar por el fomento de una cultura de continuidad del negocio, motivando la participación activa y
el compromiso de todos los empleados;
d) Activar los planes de continuidad en respuesta a la ocurrencia de incidentes de interrupción; y
e) Impulsar la mejora continua en la gestión de continuidad del negocio de la entidad.
Tel. (503) 2281-8000 Página 6 de 13
www.bcr.gob.sv
CNBCR-07/2020
NRP-24
NEGOCIO
Responsabilidad de la Unidad de Riesgos

Art. 8.- En materia de gestión de la continuidad del negocio, la Unidad de Riesgos debe llevar a cabo
como mínimo lo siguiente:
a) Apoyar en el diseño y someter para aprobación de la Junta Directiva, a través del Comité de
Riesgos, las estrategias, políticas y manuales de continuidad del negocio;
b) Apoyar en el diseño y someter para aprobación del Comité de Riesgos, los planes de continuidad
del negocio;
c) Asegurar que la gestión de la continuidad del negocio que realice la entidad sea consistente con
las políticas, metodologías y procedimientos aplicados para la gestión de riesgos; y
d) Proponer al Comité de Riesgos o quien haga sus veces, la creación de Comités, áreas o cargos
especializados para el cumplimiento de las responsabilidades relacionadas con la gestión de la
continuidad del negocio.
CAPÍTULO III
DEL SISTEMA DE GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO
Sistema de Gestión de la Continuidad del Negocio

Art. 9.- Los elementos mínimos a desarrollar para implementar un SGCN serán los siguientes:
a) Una política de continuidad del negocio;
b) Roles y responsabilidades de los participantes en la gestión de continuidad del negocio;
c) El análisis de impacto del negocio (BIA);
d) Análisis de amenazas a la continuidad de negocio;
e) Diseño y selección de estrategias y tácticas de continuidad del negocio;
e) Desarrollo e implementación de la(s) estrategia(s) de continuidad de negocio seleccionada(s);
f) Planes de continuidad del negocio para los procesos que permitan la entrega de productos y
servicios críticos que la entidad ofrece, incluyendo los servicios de apoyo internos y externos que
se vuelven críticos o habilitantes de los procesos de negocio;
g) Pruebas a los planes de continuidad del negocio;
h) Integración de la gestión de la continuidad del negocio dentro de la cultura organizacional a través
de la capacitación, divulgación y concientización del personal, al menos una vez al año;
i) Estrategia de gestión de crisis; y
j) Revisiones periódicas del SGCN.
Funciones de la unidad o área especializada en Continuidad del Negocio

Art. 10.- La función de continuidad del negocio comprenderá al menos los aspectos siguientes:
a) Diseñar las estrategias, políticas, manuales y de continuidad del negocio de la entidad, con el
apoyo de la Unidad de Riesgos, para someterlo para aprobación de la Junta Directiva;
b) Diseñar los planes de continuidad del negocio de la entidad, con el apoyo de la Unidad de
Riesgos, para someterlo para aprobación del Comité de Riesgos;
Tel. (503) 2281-8000 Página 7 de 13
www.bcr.gob.sv
CNBCR-07/2020
NRP-24
NEGOCIO
c) Elaborar roles y establecer responsabilidades de los participantes en la gestión de continuidad

del negocio;
d) Realizar el análisis de impacto del negocio y el análisis de amenazas a la continuidad con el
apoyo de la Unidad de Riesgos e informar a la Alta Gerencia, al Comité de Riesgos y la Junta
Directiva, sobre los resultados obtenidos;
e) Diseñar y ejecutar un programa de pruebas de continuidad del negocio con el apoyo de la Unidad
de Riesgos, para aprobación del Comité de Riesgos; que permitan comprobar su aplicabilidad,
informando posteriormente a la Alta Gerencia, al Comité de Riesgos y la Junta Directiva, sobre el
resultado de dichas pruebas realizadas;
f) Establecer programas de capacitación y concientización al personal, directamente relacionados
con la gestión de la continuidad del negocio, para que éste conozca su rol a la hora de enfrentar
un evento disruptivo;
g) Definir un responsable titular y un suplente de comunicar a la Superintendencia lo siguiente:
i. Los resultados de las pruebas;
ii. La activación del plan de continuidad del negocio cuando ocurra un incidente de
interrupción; dicha comunicación deberá incluir; una descripción sobre cada interrupción
que afecte a los servicios financieros en el momento después de su ocurrencia y completar
información relacionado al evento reportado, a más tardar diez días después de haber
notificado sobre la interrupción, debiendo incluir lo siguiente: fecha de ocurrencia,
descripción del incidente, causas de las fallas, diagnostico técnico, canales afectados,
tiempo fuera de servicio, impacto ocasionado, acciones correctivas ejecutadas y/ o plan de
acción a implementar por esa entidad para solventar las causas que originaron el incidente,
así como para prevenirlos en el futuro; en casos de mantenimientos preventivos a la
infraestructura tecnológica, deberán informar sobre los mismos con una anticipación de
dos días a su ejecución; y
iii. Interrupciones que afecten la conexión directamente con el sistema de Liquidación Bruta
en Tiempo Real del Banco Central, en este caso también deberá informarse a este último
a la unidad que administra los sistemas de pagos; y
iv. Elaborar y presentar informes de gestión de continuidad del negocio a la Alta Gerencia, al
Comité de Riesgos y a la Junta Directiva.
Política de la Continuidad del Negocio

Art. 11.- La política de la continuidad del negocio debe proporcionar el marco en torno al cual se
diseña e implementa la gestión de la continuidad del negocio y debe formularse acorde con la
naturaleza, tamaño, perfil de riesgo y volumen de operaciones de la entidad.
Dicha política, deberá adecuarse al propósito y a las necesidades de la entidad, estableciendo

claramente lo que debe lograr en la gestión de la continuidad del negocio. Asimismo, debe ser concisa,
clara y precisa, debiendo ser comunicada a todo el personal de la entidad.
La política de la continuidad del negocio incluirá al menos lo siguiente:
Tel. (503) 2281-8000 Página 8 de 13
www.bcr.gob.sv
CNBCR-07/2020
NRP-24
NEGOCIO
a) Alcance y objetivos de la continuidad del negocio;

b) Un conjunto de principios, guías y normas mínimas para la continuidad del negocio; y
c) Compromiso de parte de la Junta Directiva de proveer los recursos para establecer, implementar
y mejorar la gestión de continuidad del negocio.
Incorporación de la Continuidad del Negocio en la cultura organizacional

Art. 12.- La entidad debe incorporar el concepto e importancia de la continuidad de negocio en la
cultura organizacional, de tal manera que todo el personal labore con un enfoque de continuidad del
negocio; es decir, que reconozca a la continuidad del negocio como un objetivo prioritario y
completamente alineado a la gestión estratégica y cotidiana de la entidad.
Para asegurar que la continuidad del negocio está siendo incorporada en la cultura organizacional, la
entidad deberá desarrollar actividades periódicas de concientización y capacitación de continuidad del
negocio, así como también considerarse en los procesos de inducción al personal, de conformidad a
lo establecido en las presentes Normas.
Análisis de Impacto del Negocio

Art. 13.- Para efectos de determinar los productos o servicios críticos y como base para la gestión de
la continuidad del negocio, la unidad, área o persona responsable de la gestión de la continuidad del
negocio, junto con el área o las áreas correspondientes de la entidad, debe realizar un análisis de
impacto del negocio o BIA.
El BIA debe tomar en cuenta todos los productos y servicios que una entidad entrega; así como los
procesos relacionados a ellos; además debe identificar, cuantificar y calificar los impactos de
incidentes de interrupción en términos financieros, reputacionales, operativos, legales y de tiempo.
Asimismo, el BIA deberá implicar la definición del tiempo máximo período tolerable de disrupción
(MTPD), el tiempo objetivo de recuperación (RTO), punto objetivo de recuperación (RPO), objetivo
mínimo de continuidad de negocio (MBCO) y señalar las dependencias y recursos de apoyo para estas
actividades.
El BIA debe ser revisado y actualizado periódicamente, tomando en cuenta cambios en el plan
estratégico de la entidad, así como cuando existan lanzamientos de nuevos productos o servicios,
cambios significativos en los procesos o infraestructura tecnológica y que puedan afectar de manera
relevante las actividades y procesos críticos de la entidad.
Análisis de amenazas de continuidad del negocio

Art. 14.- La entidad debe establecer, implementar y mantener un proceso formal documentado de
análisis de amenazas de continuidad del negocio que de forma sistemática identifique y evalúe el
riesgo de incidentes de interrupción en dicha entidad.
Para lo anterior, la entidad deberá realizar las actividades siguientes:
Tel. (503) 2281-8000 Página 9 de 13
www.bcr.gob.sv
CNBCR-07/2020
NRP-24
NEGOCIO
a) Identificar las amenazas de interrupción capaces de afectar los procesos y sistemas críticos,
información, personas, activos, partes interesadas y otros recursos de soporte; y
b) Analizar y evaluar las amenazas identificadas en el literal anterior y definir planes de tratamiento
según corresponda, acordes con los objetivos de continuidad del negocio y de acuerdo con el
apetito de riesgo de la entidad.
Diseño y selección de la estrategia de continuidad del negocio

Art. 15.- Para el diseño y selección de las estrategias de continuidad y recuperación, la entidad debe
considerar los resultados del BIA y el resultado del análisis de amenazas de continuidad del negocio.
Asimismo, la entidad debe tomar en cuenta como mínimo, los aspectos siguientes:
a) La seguridad del personal;
b) La protección y recuperación de los productos, servicios y recursos de apoyo críticos;
c) La mitigación, respuesta y gestión de los impactos generados por los incidentes de interrupción;
d) Las instalaciones de trabajo e infraestructura de tecnología para continuar y recuperar los
productos y servicios críticos dentro del periodo de tiempo identificado y la capacidad acordada;
e) Los recursos necesarios; y
f) La seguridad de la información.
Implementación de la estrategia de continuidad

Art. 16.- Para la implementación de la estrategia de continuidad, la entidad debe ejecutar, como
mínimo, las actividades siguientes:
a) Formular el plan de continuidad del negocio en el que se documente las prioridades,
procedimientos, esquemas de respuestas a incidentes, responsabilidades, recursos implicados,
entre otros, que permitan a la entidad manejar y responder ante un incidente de interrupción,
continuar y recuperar productos y servicios críticos, así como los sistemas informáticos de
procesamiento y almacenamiento de información que soportan estos últimos;
b) Definir un procedimiento claro y conocido por todo el personal involucrado para la activación y
desactivación del plan de continuidad, así como mecanismos de notificación y escalamiento del
incidente;
c) Actualizar periódicamente al personal involucrado en la gestión de la continuidad del negocio,
conforme a los roles y responsabilidades derivados de la política de continuidad del negocio, para
la aplicación de las estrategias y tácticas de continuidad seleccionadas y el desarrollo de sus
operaciones cotidianas con los procedimientos alternativos que pudiese tener la entidad, cuando
sea el caso;
d) Definir mecanismos de comunicación efectiva con las partes interesadas internas y externas a la
entidad;
e) Destinar los recursos suficientes para la implementación de las estrategias de continuidad
aprobadas por la Junta Directiva;
Tel. (503) 2281-8000 Página 10 de 13
www.bcr.gob.sv
CNBCR-07/2020
NRP-24
NEGOCIO
f) Evaluar, en el caso de entidades que pertenecen a conglomerados financieros, la priorización de

las actividades de recuperación, uso de instalaciones y recursos compartidos, entre otros, para
la implementación uniforme de estrategias y tácticas de continuidad conjuntas; y
g) Tener todo dispuesto para que los planes puedan ser activados en cualquier instante y sean
ejecutados con eficiencia y efectividad.
Pruebas de continuidad del negocio

Art. 17.- La entidad debe realizar pruebas periódicamente, o cuando surja un cambio significativo, de
su plan de continuidad del negocio para asegurar que es consistente con la política y los objetivos de
continuidad del negocio definidos. Para la ejecución de estas pruebas deberá establecer un programa
de pruebas de continuidad del negocio.
Los ejercicios o pruebas de continuidad del negocio se desarrollarán según lo programado y con los
propios recursos y procesos de contingencia que ocupa la entidad para llevar a cabo sus operaciones
o procesos diariamente, debiendo documentarse la realización de dichas pruebas o ejercicios.
Para la planificación y ejecución de pruebas, la entidad debe considerar como mínimo, lo siguiente:
a) Escenarios de pruebas realistas y con propósitos y objetivos claramente definidos;
b) Que minimicen el riesgo de interrupción de las operaciones de la entidad; y
c) Se documenten generando un informe formalizado posterior a su realización, el cual contendrá
resultados, recomendaciones y acuerdos para implementar mejoras de manera oportuna.
Las pruebas que la entidad realice podrán ser parciales, temporales y no anunciadas, hasta pruebas
completas de escenarios de interrupción que involucren la participación de agentes externos,
principalmente de los proveedores de servicios críticos.
La ejecución de pruebas completas deberá ser aprobada previamente por la Junta Directiva de la
entidad.
Art. 18.- Las entidades, con al menos 30 días de antelación, deberán informar a la Superintendencia
sobre el tipo y fecha de realización de las pruebas no anunciadas y las completas.
Revisión y mantenimiento del SGCN

Art. 19.- La entidad debe, periódicamente, revisar y dar seguimiento al SGCN para asegurarse de su
conveniencia, adecuación y eficacia continua. La revisión debe incluir la evaluación de oportunidades
de mejora y la necesidad de efectuar cambios en el SGCN, incluyendo la política, objetivos, estrategias
y planes de continuidad del negocio. Los resultados de estas revisiones deben documentarse.
Tel. (503) 2281-8000 Página 11 de 13
www.bcr.gob.sv
CNBCR-07/2020
NRP-24
NEGOCIO
CAPITULO IV
INFORMACIÓN Y CONTROL
Tercerización
Art. 20.- La tercerización o servicios críticos provistos por terceros se enmarcarán dentro de la gestión
de los riesgos operacionales, debiendo las entidades establecer políticas y procedimientos apropiados
para evaluar, administrar y monitorear los servicios críticos brindados por terceros.
La entidad debe requerir al proveedor de servicios prestados una declaración jurada o certificación
vigente, que indique que cuentan con una gestión y planes de continuidad del negocio, pruebas
desarrolladas y resultados de las pruebas.
La entidad deberá garantizar a la Superintendencia el acceso y disposición de los datos o información

relacionada con el servicio tercerizado sin restricciones; así mismo, garantizar las condiciones del
acceso para la auditoría interna y las firmas de auditoría externa que deben efectuar sus evaluaciones
en cumplimiento al marco regulatorio vigente.
El plan de continuidad del negocio de la entidad deberá considerar las actividades u operaciones
críticas de tecnología de la información que han sido tercerizadas, asimismo, realizar las pruebas para
confirmar la efectividad de la estrategia de continuidad.
Para el caso de las entidades que se rigen conforme a lo dispuesto en la Ley de Adquisiciones y
Contrataciones de la Administración Pública, realizarán esta actividad sin contravención a dicha Ley.
Cambios significativos
Art. 21.- Las entidades analizarán el impacto que tienen los cambios significativos sobre la
continuidad del negocio. Los cambios significativos que se podrán considerar, entre otros, son:
cambios de la infraestructura tecnológica que soportan los productos o servicios críticos, fusión con
otra entidad, implementación de un nuevo producto, servicio o canal de servicio, cambio de un
proveedor o cambio de oficina principal, resultados del análisis del impacto del negocio, de ejercicios
o pruebas realizadas a los planes de continuidad del negocio, de manejo de incidentes ocurridos. Las
entidades deberán actualizar sus planes de continuidad del negocio, de conformidad a cambios
significativos que puedan surgir.
Detalles técnicos del envío de información

Art. 22.- La Superintendencia remitirá a las entidades, en un plazo máximo de noventa días
posteriores a la fecha de entrada en vigencia de las presentes Normas, con copia al Banco Central,
los detalles técnicos relacionados con el envío de la información requerida. Los requerimientos de
información se circunscribirán a la recopilación de información conforme lo regulado en las presentes
Normas.
Tel. (503) 2281-8000 Página 12 de 13
www.bcr.gob.sv
CNBCR-07/2020
NRP-24
NEGOCIO
Auditoría Interna
Art. 23.- La Unidad de Auditoría Interna debe considerar en su plan anual de trabajo la evaluación
del cumplimiento de las disposiciones establecidas en las presentes Normas.
CAPÍTULO V
OTRAS DISPOSICIONES Y VIGENCIA
Sanciones
Art. 24.- Los incumplimientos a las disposiciones contenidas en las presentes Normas, serán
sancionados de conformidad con lo previsto en la Ley de Supervisión y Regulación del Sistema
Financiero.
Plan de adecuación
Art. 25.- Las entidades, para cumplir las disposiciones establecidas en las presentes Normas,
deberán presentar a la Superintendencia un plan de adecuación, dentro de los ciento ochenta días
siguientes a la vigencia de las presentes Normas. Una vez presentado el plan, las entidades deberán
implementarlo en un plazo máximo de veinticuatro meses contados a partir de su presentación.
Trámites en proceso
Art. 26.- Los procedimientos y recursos administrativos que estuvieran pendientes de concluir a la
fecha de la vigencia de las presentes Normas, se continuarán realizando de acuerdo con la normativa
con que hayan iniciado su trámite.
Aspectos no previstos
Art. 27.- Los aspectos no previstos en materia de regulación en las presentes Normas, serán
resueltos por el Banco Central por medio de su Comité de Normas.
Vigencia
Art. 28.- Las presentes normas entrarán en vigencia a partir del día uno de julio del dos mil veinte.
Tel. (503) 2281-8000 Página 13 de 13
www.bcr.gob.sv

NRP-24 BCR

Cargado por

Copyright:

Formatos disponibles

NRP-24 BCR

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

NRP-24 BCR

Cargado por

Copyright:

Formatos disponibles

CNBCR-07/2020

EL COMITÉ DE NORMAS DEL BANCO CENTRAL DE RESERVA DE EL SALVADOR,

I. Que de conformidad al artículo 2, inciso segundo de la Ley de Supervisión y Regulación del

en virtud de las facultades normativas que le confiere el artículo 99 de la Ley de Supervisión y

ACUERDA, emitir las siguientes:

NORMAS TÉCNICAS PARA EL SISTEMA DE GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO

Gestión de la continuidad del negocio

Asimismo, cuando el tamaño y complejidad de las operaciones y servicios de la entidad lo amerite, la

Responsabilidades de la Junta Directiva

Responsabilidades del Comité de Riesgos

Responsabilidades de la Alta Gerencia

Responsabilidad de la Unidad de Riesgos

Sistema de Gestión de la Continuidad del Negocio

Funciones de la unidad o área especializada en Continuidad del Negocio

c) Elaborar roles y establecer responsabilidades de los participantes en la gestión de continuidad

Política de la Continuidad del Negocio

Dicha política, deberá adecuarse al propósito y a las necesidades de la entidad, estableciendo

La política de la continuidad del negocio incluirá al menos lo siguiente:

a) Alcance y objetivos de la continuidad del negocio;

Incorporación de la Continuidad del Negocio en la cultura organizacional

Análisis de Impacto del Negocio

Análisis de amenazas de continuidad del negocio

Diseño y selección de la estrategia de continuidad del negocio

Implementación de la estrategia de continuidad

f) Evaluar, en el caso de entidades que pertenecen a conglomerados financieros, la priorización de

Pruebas de continuidad del negocio

Revisión y mantenimiento del SGCN

La entidad deberá garantizar a la Superintendencia el acceso y disposición de los datos o información

Detalles técnicos del envío de información

También podría gustarte