4205.010.72.

01

Políticas Corporativas Credicorp

Políticas
Política General Corporativa de la Gestión de Continuidad de Negocios
Fecha de Vigencia: 19/12/2014
Fecha de Publicación: 22/12/2014

1. OBJETIVO
1.1 OBJETIVO GENERAL

Establecer los lineamientos generales para el diseño, construcción e implementación de

respuestas efectivas ante la ocurrencia de eventos que pueden generar una interrupción en las
operaciones y minimizar el impacto financiero, legal y reputacional, con el fin de garantizar la
operatividad razonable de los procesos vitales de las empresas Credicorp,

1.2 OBJETIVOS ESPECÍFICOS

 Definir los roles y responsabilidades a fin de asegurar la continuidad de negocio.
 Fomentar una cultura de continuidad de negocio en las empresas Credicorp.
 Planear un modelo integral para la gestión permanente del Programa de Continuidad de
Negocios en las empresas Credicorp.

2. ALCANCE
Esta política aplica a todas las empresas Credicorp (matriz y subsidiarias), con el fin de poder
garantizar la continuidad del negocio de los procesos vitales, en caso un evento afecte la operación
normal.

3. MARCO DE REFERENCIA: ESTANDARES Y MEJORES PRÁCTICAS

La Gestión de la Continuidad de Negocios se basa en los estándares internacionales, mejores
practicas y las circulares de las entidades regulatorias de cada país donde reside cada empresa
Credicorp.

Código Nombre del Documento o Registro

BS 25999 -1 Gestión de Continuidad del Negocio – Código de Práctica
BS 25999 -2 Gestión de Continuidad del Negocio - Especificación
DRII Disaster Recovery Institute International
Norma Internacional de la Gestión de Continuidad de
ISO 22301
Negocios
BCI Guía de las mejores prácticas de Continuidad de Negocios

4. TERMINOLOGÍA Y DEFINICIONES
BIA (Business Impact Analysis): Es un proceso utilizado para la recolección de la información
clave sobre la tolerancia del negocio ante una interrupción operativa, dimensionando los impactos
financieros y no financieros.

-1-
Continuidad de Negocios: Capacidad estratégica y táctica de la organización para planificar y
responder ante los eventos significativos e interrupciones del negocio, con el fin de permitir la
continuidad de las operaciones en un nivel aceptable previamente definido (BS 25999-2:2007).

Procesos vitales: Son aquellos procesos considerados indispensables para la continuidad de las
operaciones y servicios de la organización, cuya falta o ejecución deficiente puede tener un impacto
significativo en la entrega de productos y servicios.

Emergencia: se asocia principalmente a un evento natural o antrópico que afecta vidas humanas y
los activos físicos.

Desastre: se asocia principalmente a la paralización de las operaciones más allá del tiempo
máximo permitido o cuando el impacto es muy serio.

Falla o incidente: es parte del día a día y se asocia a la paralización de las operaciones por
periodos de tiempo menor al máximo permitido o cuando el impacto no es muy serio.

Crisis o evento significativo: Es una situación que puede afectar significativamente en la

continuidad de las operaciones ante la indisponibilidad de los recursos críticos, incurriendo en
impactos financieros y no financieros.

Plan de Continuidad de Negocios (PCN): Conjunto de procedimientos e información

documentados que se desarrolla, compila y mantiene asegurado para su uso en caso de producirse
un incidente, para permitir a la organización seguir desempeñando sus procesos vitales a un nivel
aceptable predefinido.

Los planes de continuidad de negocios son:

- Plan de recuperación ante desastre (DRP): Procedimientos de recuperación de lo recursos
tecnológicos que cubren los datos, el hardware y el software crítico.
- Plan de continuidad operativa (PCO): Procedimientos alternativos que permiten continuar con
las operaciones del negocio de una manera aceptable
- Plan de respuesta a emergencia: Procedimientos de salvaguarda de la vida humana
- Plan de manejo de crisis: Describe la preparación anticipada de la respuesta estratégica y
global ante una crisis, con el fin de reducir o evitar de una manera oportuna y efectiva el impacto
negativo que ésta puede generar para el Banco.
- Plan de comunicación en crisis: Describe la capacidad para asumir de manera rápida y eficaz
las actividades de comunicación necesarias, que contribuyan a reducir o eliminar los efectos
negativos que una crisis puede provocar sobre la reputación de la organización.

Período máximo tolerable de interrupción (MTPD): Es el período de tiempo luego del cual la
viabilidad de la empresa sería afectada seriamente, si un producto o servicio en particular no es
reanudado. (SBS Circular G-139-2009)

Tiempo objetivo de recuperación (RTO): Es el periodo de tiempo definido en que la empresa

debe reanudar y recuperar sus servicios y operaciones en función a los recursos con que cuenta.
Este tiempo debe ser menor que el periodo máximo tolerable de interrupción.

-2-
5. LINEAMIENTOS GENERALES
5.1 Principios generales

A efectos de garantizar razonablemente el diseño, mantenimiento, prueba y mejora de la gestión del

Programa de Continuidad del Negocios en cada empresa Credicorp, se establece los siguientes
principios:

a. El Programa de Continuidad de Negocios está desarrollado conforme a los lineamientos de las

mejores prácticas, estándares internacionales y requerimientos regulatorios de cada empresa
Credicorp., La gestión de la continuidad del negocio abarcará los procesos del negocio y los
procesos de soporte críticos o más conocidos como vitales.
b. El análisis del impacto al negocio (BIA) de los procesos del negocio y de soporte, más conocidos
como vitales, comprenderá los aspectos de impactos financieros y no financieros, se determinarán
los recursos necesarios para su operatividad, ante la indisponibilidad del proceso, se identificará el
máximo tiempo tolerable y el tiempo de recuperación objetivo. Los BIA’s se deben actualizar según
cada empresa Credicorp lo defina o ante cambios significativos en los procesos del negocio y/o
procesos de soporte identificados como vitales.
c. Las estrategias de continuidad de negocio deben contemplar responderlos riesgos de interrupción
para los principales recursos de la organización: recurso humano, tecnología, proveedores,
infraestructura, liquidez u otro recurso crítico identificado por cada empresa Credicorp.
d. Los planes de continuidad de negocios que incluyen los procedimientos de cada empresa Credicorp :
se deben mantener actualizados cada año o ante un cambio significativo en el proceso vital y/o
estructura organizacional de la unidad, de cada empresa Credicorp
e. Los planes de continuidad de negocios deben ejercitarse y/o probarse como mínimo una vez al año o
de acuerdo a la definición de cada empresa Credicorp, simulando escenarios de desastre lo más
cercanos a la realidad.
f. El programa de continuidad de negocios debe integrarse en la cultura de la organización y los
colaboradores deben conocer su respectiva función dentro de él.
g. Cada unidad de negocio y de soporte de los procesos vitales debe nombrar a un representante que
cumplirá el rol de Coordinador General de la GCN o un perfil equivalente.

6. GOBIERNO DE CONTINUIDAD DE NEGOCIOS

6.1 Responsabilidades del Comité de Riesgos Credicorp o su equivalente

El Comité de Riesgos de Credicorp es responsable de establecer una adecuada gestión del

Programa de Continuidad de Negocios de Credicorp. Entre sus responsabilidades específicas
están:

 Aprobar una política general que defina el alcance, principios y guías que orienten la gestión
del Programa de Continuidad de Negocios.
 Aprobar los recursos necesarios para el adecuado desarrollo del programa de continuidad
de negocios, a fin de contar con la infraestructura, metodología y personal apropiados.
 Promover una efectiva gestión del Programa de Continuidad de Negocios en cada empresa
Credicorp.

-3-
6.2 Responsabilidad del Comité de Riesgos de Operación de cada Empresa Credicorp o su
equivalente

 Promover que la empresa Credicorp comprenda el propósito, procedimientos y

requerimientos de la Gestión de Continuidad de Negocios.
 Aprobar el marco de gobierno, la política, la organización y asignar los recursos necesarios
para la implementación del Programa de Continuidad de Negocio
 Estar enterados del informe trimestral de la Gestión de Riesgos de Operación que incluye la
Gestión de Continuidad de Negocios.

6.3 Responsabilidades del Equipo de Continuidad de Negocios en las unidades de Riesgos de

Operación en cada empresa Credicorp

 Monitorear el cumplimiento de esta Política y difundirla a las unidades de negocios y staff de

los procesos vitales de su empresa.
 Apoyar a las unidades de negocio y soporte en la identificación de los procesos vitales,
análisis de impacto en el negocio y evaluación de riesgos necesarios de la Gestión de
Continuidad.
 Asesorar a los Coordinadores Generales de las unidades de negocios o el perfil que cumpla
dicho rol, en el desarrollo de los planes de continuidad de negocios y en la ejecución de las
pruebas.
 Diseñar, planificar y hacer seguimiento al cumplimiento de la actualización de planes y el
cronograma de pruebas.
 Consolidar e informar las recomendaciones de mejora a los Planes de Continuidad del
Negocio al Comité de Riesgos de Operación de cada empresa Credicorp.
 Participar en la gestión de los eventos significativos que afectan a los recursos críticos que
soportan a los procesos vitales. Realizar y presentar periódicamente el reporte de la gestión
de Continuidad de Negocios de cada empresa Credicorp, en el Comité de Riesgos de
Operación y Comité de Riesgos de cada empresa Credicorp o su equivalente.
 Desarrollar y calcular los indicadores de la gestión de continuidad de negocios, que se
mostrarán en el Comité de Riesgos de Operación de cada empresa Credicorp.
 Realizar y ejecutar el cronograma de capacitaciones para los equipos y miembros que
forman parte de la estructura de Gestión de la Continuidad de Negocios
 Integrar la Gestión de la Continuidad de Negocios en la Cultura Organizacional.
 Establecer una estructura de Manejo de Crisis para dar una respuesta oportuna ante un
evento de interrupción que afecte a los recursos de los procesos vitales, impactando el
ámbito financiero y no financiero. Monitorear el estado de la gestión del Programa de
Continuidad de Negocios de una forma integral, sobre el que se deberán alinear las acciones
e iniciativas derivadas de la implementación del Programa.

6.4 Responsabilidades de los Coordinadores de Continuidad de Negocio de cada empresa

Credicorp o su equivalente

 Participar en el diseño de los análisis de impacto y las estrategias de continuidad de negocio

para el proceso vital de la unidad.
 Participar en el desarrollo y mantenimiento de los planes de de continuidad de negocios de
acuerdo a las estrategias definidas.

-4-
  Participar en la gestión del evento significativo, instruyendo a los colaboradores de la unidad
la aplicación del plan de continuidad operativa y el fin de la contingencia, informando, el
impacto operacional final de la interrupción del proceso vital, la exposición financiera y el
status de la recuperación monetaria.

6.5 Responsabilidades de los Gerentes de las Unidades de Negocio y Áreas de Soporte y

Tecnología, de cada Empresa Credicorp

 Cumplir con lo estipulado en esta Política y los lineamientos que se deriven de esta.
 Comunicar esta Política y sus modificaciones al interno de sus áreas.
 Participar en la definición del Programa de Continuidad de Negocios según los enfoques
metodológicos que se definan asociados a esta Política.
 Monitorear el nivel de avance del Plan de Continuidad de Negocios de su unidad.
 Promover y asegurar la participación de su área en los programas de concienciación,
capacitación, entrenamiento y pruebas de sus respectivos planes de continuidad de
negocios
 Asegurar que el programa de continuidad de negocios se desarrolle y ejecute
adecuadamente para mitigar los eventos de interrupción significativos, que afecten a los
procesos vitales de la organización.

6.6 Responsabilidad de todos los colaboradores de cada empresa Credicorp

 Cumplir con lo mencionado en esta Política.

 Participar en el desarrollo, mantenimiento, prueba y mejora del Programa de Continuidad de
Negocios.
 Informar periódicamente sobre las actividades que corresponda desarrollar asociadas al
Programa de Continuidad de Negocios o los respectivos planes derivados de éste.
 Ejecutar los procedimientos de Continuidad de Negocio cuando se presente un evento
significativo, que afecte a los procesos vitales de su unidad.
 Participar en las capacitaciones de la Gestión de Continuidad de Negocios.

6.7 Responsabilidad de Auditoría Interna de cada empresa Credicorp

 La Auditoría Interna, como parte de su programa de trabajo, deberá revisar periódicamente

el cumplimiento de la Política para la gestión del Programa de Continuidad de Negocios, así
como la efectividad de la misma.
 La Auditoría Interna, deberá informar sobre los resultados de la Gestión de Continuidad de
Negocios como parte de la evaluación de la Gestión RO de la auditoria a la Gerencia
Central de Riesgos y a las Gerencias involucradas directamente en el Programa de
Continuidad de Negocios.
 La Auditoría interna deberá asegurar y revisar el cumplimiento de los requerimientos de las
entidades regulatorias y auditorías externas.

Documento aprobado por:

Comité de Riesgos de Crédito Credicorp en sesión del 10/09/2014

-5-