CIRCULAR
Bancos N° 3.570
Santiago, 7 de octubre de 2014.
Señor Gerente:
RECOPILACIÓN ACTUALIZADA DE NORMAS. Capítulos 11-6, 11-7 y 20-7.
Externalización de servicios. Reemplaza instrucciones.
En las actuales disposiciones del Capítulo 20-7 de la Recopilación Actualizada
de Normas (RAN), se establecen diversos requisitos que deben cumplirse para que
los bancos puedan externalizar servicios, incluyendo la autorización previa de
esta Superintendencia cuando la contratación de proveedores externos involucre
actividades significativas o estratégicas. Además, en dicho Capítulo se faculta
a los bancos para prestar servicios de procesamiento de datos a sus empresas
filiales o de apoyo al giro en el país y a sus sucursales o filiales en el
Mediante la presente Circular se reemplaza el Capítulo 20-7 antes mencionado,
por el nuevo texto que se acompaña y cuyas principales innovaciones se describen
a continuación:
a) Se elimina el requisito de autorización previa de esta Superintendencia para
externalizar servicios. Por consiguiente, en adelante este Organismo centrará su
atención en el cumplimiento de las nuevas normas, junto con el examen de la
gestión de riesgos que realiza sobre la externalización de servicios, como
parte de las evaluaciones de que trata el Capítulo 1-13 de la RAN.
b) Las nuevas disposiciones involucran al gobierno corporativo de los bancos,
estableciendo como requisito la aprobación de políticas para la externalización
de servicios, a la vez que se dispone que tanto las políticas como los
procedimientos que debe seguir el banco de acuerdo con estas normas, se hagan
extensivas a sus filiales del país o del exterior.
c) En el nuevo Capítulo se han incorporado requisitos adicionales conducentes a
precaver los riesgos involucrados en las externalizaciones, los que
corresponden, en su mayoría, a las condiciones que hasta la fecha ha exigido
esta Superintendencia para otorgar su autorización. Entre ellas, se exige que
para externalizar actividades significativas o estratégicas en el exterior, se
debe contar con un centro de procesamiento de datos alternativo o de
contingencia ubicado en Chile.
d) En caso de incumplimientos de las nuevas normas, en especial cuando se hayan
externalizado en el exterior actividades que expongan a la entidad a riesgos
operacionales relevantes, la SBIF podrá requerir que los servicios se realicen
en el país o sean ejecutados internamente, según sea el caso.
Debido a que el nuevo Capítulo 20-7 ya no se refiere a las prestaciones por parte
de los bancos, se complementan las normas de los Capítulos 11-6 y 11-7 en lo que
se indica a continuación.
A) En el título II del Capítulo 11-6, se agrega el siguiente numeral:
"9.6. Procesamiento de datos en el banco matriz.
Los bancos podrán prestar servicios de procesamiento de datos a sus filiales.
Cuando se trate de entidades fiscalizadas por otra Superintendencia, ese
servicio queda sujeto a lo que permitan las normas que rigen a esas filiales."
B) Se agrega el siguiente número en el título II del Capítulo 11-7:
"6. Procesamiento de datos en el banco matriz.
Los bancos podrán prestar servicios de procesamiento de datos a sus sucursales o
filiales en el exterior, en todo aquello permitido por las regulaciones del país
anfitrión."
Junto con las hojas correspondientes al Capítulo 20-7, se reemplaza la hoja N° 8
del Capítulo 11-6 y la hoja N° 7 del Capítulo 11-7.
Saludo atentamente a Ud.,
ERIC PARRADO HERRERA
Superintendente de Bancos e
Instituciones Financieras
Capítulo 20-7
Hoja 1
CAPÍTULO 20-7
EXTERNALIZACIÓN DE SERVICIOS.
I. ÁMBITO DE APLICACIÓN.
1. Alcance de las presentes normas.
El presente Capítulo trata de las contrataciones por parte de las instituciones
bancarias, de proveedores de servicios externos para que realicen una o más
actividades operativas que podrían ser también efectuadas internamente por la
entidad con sus propios recursos, tanto humanos como tecnológicos. En
consecuencia, las disposiciones de este Capítulo no son aplicables a aquellos
servicios que evidentemente una entidad no puede proveerse a sí misma, tales
como los servicios básicos o aquellos donde una ley ha definido que deben ser
prestados por entidades de giro exclusivo.
En todo caso, dichos servicios siempre deberán ser considerados por las
entidades dentro de sus procesos generales de evaluación y gestión de riesgo
operacional, en el contexto de lo señalado en la letra C) del numeral 3.2 del
Título II del Capítulo 1-13 de esta Recopilación.
Por otra parte, en concordancia con lo indicado en la letra D) del numeral 3.2
antes mencionado, los bancos deben procurar que las políticas y los
procedimientos tratados en este Capítulo se apliquen también, cuando proceda una
externalización de servicios según las regulaciones a las que deben atenerse, en
todas sus filiales en el país y en sus sucursales y filiales en el exterior.
Las presentes normas no contemplan como actividades posibles de externalización,
aquellas relacionadas con la captación de dinero de terceros fuera de las
oficinas de la entidad, la apertura de cuentas corrientes y las vinculadas a
funciones de control al interior de la empresa.
2. Definiciones.
Para los efectos de esta normativa se deberán considerar las siguientes
definiciones:
Externalización de servicios (Outsourcing): es la ejecución por un proveedor
externo de servicios o actividades en forma continua u ocasional, las que
normalmente podrían ser realizadas por la entidad contratante.
Procesamiento de datos: tratamiento electrónico de datos o de los elementos
básicos de información, sometidos a operaciones programadas.
Capítulo 20-7
Hoja 2
Proveedor de servicios: entidad relacionada o no a la institución contratante,
que preste servicios o provea bienes e instalaciones a éste.
Cadenas de servicios externalizados: las formadas por terceros subcontratados
por el proveedor inicial de servicios para realizar parte importante de las
actividades contratadas con éste (subcontrato de otros proveedores).
Entidad relacionada: aquélla vinculada a la propiedad o gestión del banco, en
los términos definidos por este Organismo en el Capítulo 12-4 de esta
Recopilación.
Actividades significativas o estratégicas (críticas):
i. actividades de importancia en las que cualquier debilidad o falla en la
provisión o ejecución del servicio tiene un efecto significativo sobre el
cumplimiento normativo, continuidad del negocio, seguridad de la información
(propia o de sus clientes) y la calidad de los servicios, productos, información
e imagen de la entidad contratante.
ii. cualquier actividad que tenga impacto significativo en la gestión de riesgos.
iii. aquellas actividades de alta interacción sistémica en el mercado o que
incorporan riesgos significativos en la entidad contratante.
II. PRINCIPALES RIESGOS QUE SE ASUMEN CON MOTIVO DE LA EXTERNALIZACIÓN DE
SERVICIOS.
Aun cuando el riesgo operacional es el que se presenta en forma más frecuente,
la externalización de servicios también se ve afectada por los riesgos
estratégico, reputacional, de cumplimiento, de país, de concentración y legal,
entre otros.
Una sólida gestión de riesgos se basa en la existencia de una adecuada
estructura de gobierno, un marco con políticas, normas y procedimientos, así
como un entorno que permita identificar, evaluar, controlar, mitigar, monitorear
y reportar los riesgos más relevantes asociados al outsourcing de actividades,
proceso que en el caso del riesgo operacional debe cumplirse en concordancia con
lo indicado en la letra C) del numeral 3.2 del Título II del Capítulo 1-13 de
esta Recopilación.
Medidas adicionales de mitigación deben ser consideradas al contratar un
proveedor de servicios que concentre un número importante de entidades
financieras, ya que ante una eventual falla de dicho proveedor se podría generar
una crisis a nivel de la industria. Dichas medidas también deberán ser
contempladas cuando se entreguen varias actividades significativas a un mismo
proveedor. Corresponderá a las instituciones definir los criterios de
concentración, los cuales deberán encontrarse formalmente definidos y sustentados.
Capítulo 20-7
Hoja 3
III. CONDICIONES QUE DEBEN CUMPLIRSE EN LA EXTERNALIZACIÓN DE SERVICIOS.
La entidad que decida externalizar alguna actividad, además de considerar los
aspectos indicados en el Anexo N° 1 para fines de la contratación de cada
servicio en particular, debe dar cumplimiento a las siguientes condiciones:
1. Condiciones generales.
a) Mantener una política debidamente aprobada por el Directorio, que regule las
actividades asociadas a la externalización. Esta política debe pronunciarse, al
menos, respecto de los elementos indicados en el N° 2 siguiente.
b) Establecer procedimientos formales para la selección, contratación y
monitoreo de proveedores.
c) Velar por que el proveedor y el personal a cargo de los servicios contratados
posean adecuados conocimientos y experiencia. Asimismo, también deberá vigilar
el debido cumplimiento de aquellos aspectos regulatorios y legales que pudiesen
afectar la provisión de los servicios contratados (ej. leyes laborales).
d) Mantener un catastro actualizado de todos los servicios contratados con
empresas externas, determinando claramente aquellos que, a su juicio, son
estratégicos y de alto riesgo, de manera de establecer procedimientos de control
y seguimiento en forma permanente de acuerdo a los niveles de criticidad que les
asigne.
e) Establecer procedimientos que aseguren el cumplimiento oportuno y cabal de
los compromisos que tiene con sus clientes.
f) Velar por que existan auditorías independientes al proceso de selección,
contratación y seguimiento de los proveedores.
g) Exigir a los proveedores de servicios que los procedimientos operacionales,
administrativos y tecnológicos propios del servicio contratado, se encuentren
debidamente documentados, actualizados y permanentemente a disposición
para su revisión por parte de esta Superintendencia.
h) Considerar los riesgos que provienen de las cadenas de servicios
externalizados, lo que debe quedar reflejado en el contrato respectivo en forma
previa, señalándose que en caso de subcontratación, la empresa subcontratada
debe cumplir también con las condiciones pactadas entre la entidad y el
proveedor de servicios inicial.
i) La entidad debe incorporar en sus reportes de riesgo operacional que elabora
para el Directorio, o para quien haga sus veces, información respecto de la
gestión que realiza la institución para administrar los riesgos de outsourcing,
incluyendo los cambios en el perfil de riesgos de los proveedores (como por
ejemplo, cambios relevantes en sus procesos y áreas geográficas de donde se
prestan los servicios) y la exposición a aquellos servicios considerados
críticos.
Capítulo 20-7
Hoja 4
j) Los datos, plataformas tecnológicas y aplicaciones a utilizar en la
externalización de los servicios deben encontrarse en sitios de procesamiento
específicos y para el caso de procesamiento en el extranjero, en una
jurisdicción definida y conocida.
2. Política de contratación y gestión de actividades relativas a la
externalización de servicios
La política que corresponde ser sancionada por el Directorio de la entidad o del
órgano que haga sus veces, debe abordar al menos las siguientes materias:
a) La definición de la estructura de gobierno y de los procedimientos a seguir
para autorizar y gestionar la externalización de servicios, incluyendo las
líneas de reporte y de responsabilidad.
b) La descripción de las herramientas específicas de evaluación de riesgos en
esta materia y de su utilización.
c) Criterios para definir los umbrales o límites permitidos o de tolerancia al
riesgo inherente y residual, así como los instrumentos y estrategias de
mitigación y monitoreo.
d) Criterios particulares de contratación, cuando se trate de un proveedor que
sea una entidad relacionada.
e) Elementos que serán considerados por la entidad para determinar aquellos
servicios que, a su juicio, se encuentran asociados con actividades
significativas o estratégicas.
f) La definición de aquellas actividades que solo pueden externalizarse previa
aprobación del Directorio o de otra instancia de la administración que se
defina.
g) Periodicidad de revisión de la política, especialmente cuando existan cambios
relevantes en el perfil de riesgo de la entidad.
h) Los elementos mínimos que deberá incorporar el contrato de prestación de
servicios.
i) Definición de los mecanismos para contar con autorización previa de cada
cliente, en caso que el servicio a externalizar incluya la transmisión de datos
fuera del país, que por su naturaleza están sujetos a lo dispuesto en el
artículo 154 de la Ley General de Bancos, relativo a la reserva o secreto
bancario. Sin perjuicio de lo anterior, cabe recordar que los servicios
externalizados en Chile quedan sujetos a la misma obligación de reserva o
secreto según corresponda, a la que se encuentra sujeto la entidad.
j) Definición de los elementos relacionados a la gestión de riesgo que no les
sean aplicables a cierto tipo de actividades o servicios que se realicen
localmente, de acuerdo a lo dispuesto en el Anexo N° 4.
Capítulo 20-7
Hoja 5
3. Continuidad del negocio.
La entidad debe verificar que sus proveedores de servicios críticos cuenten con
planes apropiados que aseguren la continuidad de los servicios contratados. Esos
planes deben ser probados al menos una vez al año incluyendo, cuando
corresponda, el escenario de desastre de sus distintos sitios de procesamiento,
debiendo la entidad tomar conocimiento de dicha actividad y verificar los
resultados obtenidos. Adicionalmente, la entidad también debe disponer de
planes, igualmente probados, para asegurar la continuidad operacional ante la
contingencia de no contar con dicho servicio externo.
4. Seguridad de la información propia y de sus clientes, en los casos que
corresponda.
La entidad debe cerciorarse que el proveedor de servicio mantiene un programa de
seguridad de la información que le permita asegurar la confidencialidad,
integridad, trazabilidad y disponibilidad de sus activos de información y la de
sus clientes. Estas condiciones deben ser consistentes con las políticas y
estándares adoptados por la entidad y quedar incorporadas en el contrato de
prestación de servicios.
La información una vez procesada debe ser almacenada y transportada en forma
encriptada, manteniéndose las llaves de desencriptación en poder de la entidad.
Asimismo, se deben definir los procedimientos de intercambio de claves entre el
proveedor de servicios y institución, además de establecerse los roles y
responsabilidades de las personas involucradas en la administración de la seguridad.
En el caso de procesamiento de documentación física, la entidad deberá contar
con procedimientos de control que velen por el debido cumplimiento de las
condiciones señaladas en este Título. Junto a lo anterior, se deben establecer
los procedimientos que aseguren el adecuado traspaso de información a la entidad
por parte del proveedor, y que éste en ningún caso mantenga información en su
poder después de finalizada la relación contractual.
5. Riesgo país.
No se podrán externalizar servicios en jurisdicciones que no cuenten con
calificación de riesgo país en grado de inversión. No obstante, sin perjuicio de
la necesaria evaluación de los riesgos involucrados, las sucursales o filiales
de entidades extranjeras podrán encargar la prestación de servicios a otras
subsidiarias de la misma entidad que se encuentren situadas en países con una
calificación distinta a grado de inversión, en actividades que no sean
consideradas significativas o estratégicas.
En el caso de entidades que mantengan servicios externalizados en países que
pierdan su grado de inversión, deberán informar a esta Superintendencia sobre el
efecto que este hecho produjo, o se estima que producirá, en la calidad e
idoneidad de los servicios contratados.
Capítulo 20-7
Hoja 6
6. Responsabilidad por la gestión.
La responsabilidad por la gestión global de los riesgos y funciones de control
deberá mantenerla la entidad en el país. Lo anterior es sin perjuicio que en
algunas entidades internacionales existan, para efectos de una administración
consolidada de sus casas matrices, coordinaciones matriciales entre el personal
establecido en el extranjero y personal local.
Por otra parte, la institución deberá comunicar a esta Superintendencia de forma
inmediata cualquier evento derivado de la externalización de un servicio
determinado, que pueda implicar el incumplimiento por parte de la entidad de
instrucciones legalmente impartidas por esta Superintendencia, de obligaciones
para con los clientes de la entidad o bien que signifiquen fallas relevantes,
que afecten aspectos tales como: la continuidad del negocio, la seguridad de la
información, la calidad de los servicios, e imagen de la entidad.
7. Acceso a la información por parte del supervisor.
La entidad contratante debe asegurarse que esta Superintendencia tenga acceso
permanente, sea mediante visitas a las instalaciones de los proveedores de
servicios o por vía remota, a todos los registros, datos e información que se
procesen, mantengan y generen a través de un proveedor externo, ya sea
establecido en el país o en el exterior.
Al tratarse de un proveedor de servicios establecido en el exterior, deberá
prestarse especial atención a las restricciones legales del país anfitrión que
pudieren impedir la visita de esta Superintendencia al proveedor o el acceso a
la información y a los datos mencionados en el párrafo anterior. Asimismo, como
parte de la gestión de riesgo, la entidad deberá incorporar dentro del análisis
aquellos aspectos relacionados con los riesgos legales a la que se expone la
información sujeta a secreto o reserva bancaria establecida en la Ley General de
Bancos.
IV. FACTORES A CONSIDERAR AL EXTERNALIZAR SERVICIOS DE PROCESAMIENTO DE DATOS.
La contratación de servicios externos de procesamiento de datos deberá estar
respaldada por los antecedentes que se detallan el Anexo N° 2 de este Capítulo,
además de considerar los factores que se indican más adelante.
Adicionalmente, en la evaluación que al efecto realice este Organismo, con
ocasión de sus actividades de fiscalización, se distinguirá atendiendo al tipo
de servicios de que se trate.
1. Ubicación geográfica del proveedor
a) Servicios realizados en el país
Cuando el servicio de procesamiento de datos, total o parcial, se realice por
una empresa situada en el país, la institución deberá comprobar que la
infraestructura tecnológica y los sistemas que se utilizarán para la
comunicación,
Capítulo 20-7
Hoja 7
almacenamiento y procesamiento de datos, ofrecen suficiente seguridad para
resguardar permanentemente la continuidad del negocio, confidencialidad,
integridad, exactitud y calidad de la información. Asimismo, deberá verificar
que las condiciones del servicio garantizan la obtención oportuna de cualquier
registro, dato o información que necesite, sea para sus propios fines o para
cumplir con los requerimientos de las autoridades competentes, como es el caso
de la información que en cualquier momento puede solicitarle esta
Superintendencia.
En cuanto al Centro de Procesamiento de Datos de contingencia, éste deberá
cumplir con condiciones de ubicación y distancia del Centro de Procesamiento de
Datos principal, que garanticen la continuidad operacional.
b) Servicios realizados en el extranjero
En el caso que la entidad externalice servicios de procesamiento de datos fuera
del país, deberá disponer en todo momento de los antecedentes de la empresa
contratada. En especial, deberá mantener aquellos antecedentes que respalden la
solidez financiera del proveedor del servicio y que éste mantiene
certificaciones de calidad, seguridad y apropiados sistemas de control.
Adicionalmente, la entidad debe disponer de los antecedentes del proyecto, del
contrato de servicios y, en el caso de existir subcontratos con terceros, estos
también deben ser incorporados.
Para resguardar el adecuado funcionamiento del mercado financiero con todos sus
participantes, incluidos los clientes, las instituciones que realicen en el
exterior actividades consideradas significativas o estratégicas, deberán
mantener a disposición de esta Superintendencia los antecedentes contenidos en
el Anexo N° 2 de este Capítulo y cumplir las siguientes condiciones para la
externalización de los servicios:
i) Se debe contar con un Centro de Procesamiento de Datos de contingencia
ubicado en Chile y demostrar un tiempo de recuperación compatible con la
criticidad del servicio externalizado. Asimismo, los tiempos de recuperación
deberán ser evaluados por la entidad al menos una vez al año, tanto para los
procesos transaccionales como Batch.
ii) La institución debe efectuar desde Chile el control y monitoreo del servicio
externalizado en el Centro de Procesamiento de Datos en el exterior,
especialmente, en los aspectos relacionados con la seguridad de la información,
continuidad del negocio y condiciones de operación del centro de procesamiento.
Dichas actividades deben estar debidamente fundamentadas de acuerdo a la gestión
de riesgos realizada para el proveedor específico. Lo anterior, independientemente
de las actividades propias de control y monitoreo que realice el proveedor del
servicio.
En cuanto a los centros de Procesamiento de Datos principal y alternativo, estos
deberán tener una infraestructura que les permita contar al menos con capacidad
de mantenimiento simultáneo, además de una ubicación y distancia que garanticen
su operación bajo escenarios de indisponibilidad que puedan afectarlos.
Capítulo 20-7
Hoja 8
2. Proveedores externos de canales electrónicos.
Las instituciones que requieran contratar servicios externos necesarios para
operar con corresponsalías, es decir, aquellos proporcionados por empresas que
ponen a disposición canales electrónicos y mantienen acuerdos con
establecimientos comerciales para la prestación de ciertos servicios financieros
por mandato de la entidad, deberán contemplar, en lo que sea aplicable, los
aspectos indicados en el Anexo N° 1 y mantener permanentemente a disposición de
la Superintendencia, aquellos antecedentes señalados en el Anexo N° 3.
Adicionalmente, la institución deberá de asegurarse del cumplimiento de lo
establecido en el Capítulo 1-7 de esta Recopilación.
V. REVISIONES DE ESTA SUPERINTENDENCIA
En sus visitas de inspección, esta Superintendencia examinará la gestión de
riesgos que realiza la entidad sobre la externalización de servicios, como parte
de las evaluaciones de que trata el Capítulo 1- 13 de esta Recopilación.
En el caso de incumplimientos a esta normativa, en especial por aquellas
entidades que hayan externalizado en el exterior actividades significativas o
estratégicas o que las exponga a riesgos operacionales relevantes, este
Organismo podrá requerir que los servicios se realicen en el país, o sean
ejecutados internamente por la entidad, según corresponda. En consideración a lo
anterior, la entidad deberá mantener permanentemente actualizado un plan que
posibilite cumplir con esos eventuales requerimientos.
Capítulo 20-7
Anexo N° 1 - Hoja 1
ANEXO N° 1
ASPECTOS MÍNIMOS QUE DEBEN CONSIDERARSE PARA LA EXTERNALIZACION DE SERVICIOS.
1. Evaluación del riesgo.
Antes de decidir la externalización de una actividad, se debe efectuar una
evaluación, que considere a todos los agentes involucrados respecto de los
riesgos que esta decisión incorpora a la institución, así como la cantidad de
riesgo comprometido en razón de los montos pagados a la empresa externa, volumen
de transacciones que se procesará, criticidad del servicio contratado,
concentración de servicios con el mismo proveedor, concentración del sector
financiero en un proveedor específico, entre otros.
En esta evaluación se debe considerar la opinión del área encargada de la
gestión del riesgo operacional de la entidad fiscalizada, la que deberá
encontrarse debidamente sustentada.
2. Selección del proveedor de servicios.
La institución debe evaluar las propuestas recibidas de acuerdo a sus
requerimientos y llevar a cabo un due diligence que sustente la información
recibida de los posibles proveedores.
En el caso de que se contrate un servicio con una entidad relacionada, las
condiciones económicas deben cumplir con principios de transparencia y equidad,
aspectos que deben estar definidos en la política que regula la externalización
de servicios.
3. Contrato.
La entidad debe asegurarse que el contrato defina claramente los derechos y
obligaciones de ambas partes, conteniendo acuerdos de niveles claros y medibles
de los servicios contratados, así como también un método de fijación de precios
adecuado para el contrato específico. En caso que se adquiera más de un servicio
por un precio único, debe tenerse el detalle del cobro por cada uno de tales
servicios.
También se deben incluir cláusulas de continuidad del negocio y de seguridad de
la información, especialmente aquella que se refiere a la propiedad y
confidencialidad de la información, tanto propia como de sus clientes;
restricciones sobre el uso de software; además de establecer una autorización
permanente que permita tanto a esta Superintendencia como a la entidad
fiscalizada examinar in situ, en cualquier momento, todos los aspectos
relacionados con el servicio contratado. Los costos en que incurra esta
Superintendencia por la supervisión de los servicios externalizados en el lugar
dispuesto por el proveedor de servicios, serán de cargo de la respectiva entidad.
Capítulo 20-7
Anexo N° 1 - Hoja 2
Adicionalmente, la institución deberá considerar cláusulas de veto en la
selección de subcontratación de terceros por parte del proveedor principal.
Contractualmente debe quedar claramente establecido todo lo relacionado con la
idoneidad y responsabilidad del personal de la empresa proveedora del servicio,
así como también todos los aspectos legales y laborales que imperen en el país o
en el extranjero, aplicables a estas contrataciones.
Por último, todos los contratos, subcontratos y sus respectivos anexos, deberán
estar en idioma español, o bien traducidos a este idioma, y con las
correspondientes rúbricas de las partes.
4. Control permanente.
Del proveedor: La institución debe controlar el desempeño del proveedor y los
posibles cambios en los requerimientos de la institución durante la vigencia del
contrato. El control debe comprender como mínimo: el conocimiento y análisis del
último estado financiero del proveedor y aspectos tales como la observación del
entorno de control general de la empresa externa.
Del servicio: La institución debe contar con procedimientos que le permitan
controlar el cumplimiento de las cláusulas estipuladas en los contratos. El
monitoreo debe comprender al menos: acuerdos de niveles de servicios,
disposiciones contractuales, gestión del riesgo operacional asociado al servicio
contratado y posibles cambios a causa del entorno externo. Adicionalmente, se
debe evaluar y probar, al menos anualmente, la existencia y suficiencia de los
procedimientos de traspaso a producción y escalamiento de incidentes; así como
definir y controlar los hitos relevantes de cada uno de estos servicios.
Capítulo 20-7
Anexo N° 2 - Hoja 1
ANEXO N° 2
ANTECEDENTES ADICIONALES PARA LA EXTERNALIZACIÓN DE SERVICIOS DE PROCESAMIENTO
DE DATOS
I. Información general
1. Estructura de gobierno definida entre la entidad y el proveedor,
identificando claramente su nivel estratégico, táctico y operacional, tanto en
la etapa de desarrollo del proyecto como de relacionamiento en régimen.
2. Estructura detallada de costos del procesamiento de datos actual y posterior
al procesamiento externo (para los mismos ítems considerados).
II. Información del proyecto
1. Alcance detallado del servicio de procesamiento externo.
2. Identificación detallada de las plataformas y aplicaciones de negocios que se
procesarán externamente y aquellas que se quedarán en la institución.
3. Documentos de respaldo del proyecto de procesamiento externo, que deben ser
concordantes con la metodología de gestión de proyectos adoptada por la entidad.
4. Detalle de los ítems que se considerarán en el respectivo acuerdo tarifario.
5. Informe de análisis y evaluación de riesgo efectuado por una entidad
independiente. Este informe debe incluir la matriz de riesgos del proyecto, la
que debe contemplar al menos, la identificación de los proceso externalizados,
la identificación de las fuentes y factores de riesgo que los afectan, el riesgo
inherente, el impacto y probabilidad de ocurrencia, y una evaluación del diseño
y operación de los controles para la determinación del riesgo residual resultante.
6. Evaluación técnica y financiera del proyecto.
7. Evaluaciones efectuadas para la selección de proveedores.
8. Detalle de la metodología de traslado utilizada en caso que corresponda
(hardware, software y telecomunicaciones).
9. Metodología de certificación de pruebas y simulacros.
10. Criterios de aceptación establecidos para cada sub-etapa y actividades que
conforman el proyecto.
11. Contrato de servicios (incluyendo todos los anexos) y en el caso de existir
subcontratos con terceros estos también deben ser incorporados.
12. Políticas de seguridad de la información y continuidad de negocio del
proveedor del servicio.
13. Descripción, antecedentes y características técnicas detalladas del sitio de
producción y contingencia del proveedor de servicios y las certificaciones
con que cuenta.
14. Carta GANTT detallada del proyecto de externalización.
15. Proceso y herramientas que le permitan a la entidad controlar la aplicación
de sus políticas y buenas prácticas, en la empresa prestadora del servicio.
16. Proceso y herramientas que le permitirán controlar el cumplimiento de los
niveles de servicios comprometidos en el contrato suscrito.
17. Estructura organizacional que estará encargada de las mantenciones de
hardware, software y comunicaciones, especialmente al inicio del proceso
externo.
Capítulo 20-7
Anexo N° 2 - Hoja 2
18. Políticas y procedimientos que se utilizarán para la mantención de software
operativo y comercial, tanto para aquellos que son de índole evolutivo y
correctivo.
19. Plan de continuidad del negocio que adoptará la institución ante el evento
de una contingencia que impida el procesamiento por parte del proveedor o
los subcontratados por éste.
20. Planes de contingencia previstos para mantener la continuidad operacional
de la entidad contratante en caso que se produzcan fallas en la comunicación o
almacenamiento de la información.
Capítulo 20-7
Anexo N° 3
ANEXO N° 3
ANTECEDENTES SOBRE SERVICIOS RELACIONADOS CON CANALES ELECTRÓNICOS PARA OPERAR
CON CORRESPONSALÍAS
Se deberá mantener permanentemente a disposición de la Superintendencia, según
corresponda, los siguientes antecedentes debidamente actualizados:
1. Detalle de los productos ofrecidos a través de canales externos.
2. Modelo de negocios, incluyendo políticas comerciales y tarifarias.
3. Límites de operación (por monto, por día, por transacción, por RUT, etc.).
4. Criterios de selección de los comercios, calendario de apertura,
características y localización geográfica.
5. Tipo de validaciones, dónde y quiénes las realizan durante el trayecto de la
transacción, para efectos de autorizarla. Ejemplo: comercio registrado y
vigente; vigencia del producto, del RUT, etc.
6. Políticas de seguridad física a los comercios, tales como seguros contra robos,
asaltos o fraudes a los comercios.
7. Procedimientos de administración de la controversia ante probabilidad de
fraudes tanto al comercio como al cliente.
8. Políticas de difusión en los puntos de atención.
9. Pruebas efectuadas al proyecto. Pruebas de funcionamiento del canal con todas
las funcionalidades del software, pruebas de borde, pruebas de conectividad,
pruebas de carga.
10. Descripción del modelo contable de la cuenta del comerciante. Detalle del
flujo de efectivo para cada una de las operaciones.
11. Esquemas de monitoreos de canales para fraudes, lavado de activos, soporte,
etc.
12. Modelo de atención de mesa de ayuda.
13. Contrato con los comercios, incluyendo anexos, en caso que corresponda.
14. Esquema tarifario con los Comercios.
15. Informes de auditoría interna relativos al proyecto, donde se pronuncie al
menos sobre aspectos de control interno, seguridad de la información y
continuidad operacional, antes del inicio del proyecto respectivo.
16. Políticas de selección y desvinculación de comercios, y de eventuales vetos a
comercios que no cumplen con las políticas de la entidad.
Capítulo 20-7
Anexo N° 4
ANEXO N° 4
EXTERNALIZACIÓN DE SERVICIOS NO ESTRATÉGICOS
El Directorio o el órgano que haga sus veces, debe definir qué elementos de este
Capítulo no serán aplicables a aquellos servicios contratados en el país, debido
a que comúnmente se vinculan con actividades que no tienen un carácter
estratégico o sus riesgos son más acotados.
A continuación, a manera de referencia, se enumeran algunas categorías de
servicios y actividades que podrían cumplir con dichas condiciones:
i) Servicios Generales: tales como vigilancia, limpieza, mantenimiento y
reparaciones, mensajería, servicios públicos, entre otros.
ii) Actividades de apoyo administrativo: pago de sueldos, compras, facturación,
capacitación, selección de personal, entre otros.
iii) Actividades de investigación de mercado y marketing: encuestas de productos
y servicios bancarios, antecedentes de clientes y publicidad, entre otros.
iv) Otros: Servicios de arrendamiento.
Sin perjuicio de lo señalado, para estas actividades la entidad deberá velar por
el debido cumplimiento de cualquier aspecto legal o regulatorio que ponga en
riesgo la adecuada provisión del servicio, como por ejemplo, las leyes
laborales. Asimismo, dependerá de cada entidad establecer las condiciones que
deben ser ponderadas antes de exceptuar a un servicio o actividad de alguna de
las medidas de gestión de riesgo de que trata este Capítulo, de acuerdo a las
características particulares de cada institución.
Capítulo 11-6
Hoja 8
En caso de que una sociedad filial sujeta a la fiscalización de la
Superintendencia de Valores y Seguros o de la Superintendencia de Pensiones
estuviere facultada para actuar de igual modo, no existe impedimento para que
las entidades fiscalizadas por esta Superintendencia actúen de la misma forma
con ellas, siempre que la evaluación y la decisión final de la operación que se
geste a través de una entidad, así como la determinación de sus características
y condiciones, se realice siempre en la sociedad que la contrata, no pudiendo
ser delegadas tales funciones.
9.5. Información reservada.
Lo indicado en los numerales precedentes es sin perjuicio, claro está, de las
normas sobre secreto o reserva bancarios. Por consiguiente, el banco matriz no
puede compartir la información reservada de sus clientes, salvo que cuenten con
autorización de los mismos.
9.6. Procesamiento de datos en el banco matriz.
Los bancos podrán prestar servicios de procesamiento de datos a sus filiales.
Cuando se trate de entidades fiscalizadas por otra Superintendencia, ese
servicio queda sujeto a lo que permitan las normas que rigen a esas filiales.
10. Participación de la sociedad filial en otras sociedades.
El artículo 71 de la establece, en general, una
prohibición para que las sociedades filiales de bancos puedan adquirir acciones
o tomar participación en otras sociedades.
La misma disposición establece una excepción para el caso de que la inversión
sea imprescindible para el desarrollo de su giro y siempre que no exceda en
momento alguno del 5% del capital pagado de la sociedad en que se efectúe dicha
inversión.
Para dar cumplimiento a lo anterior, toda inversión que una empresa filial de un
banco efectúe en otra sociedad deberá contar con la autorización previa de esta
Superintendencia. En la solicitud que se presente con este objeto, deberán
informarse las razones por las cuales la inversión se estima imprescindible para
el desarrollo del giro.
En todo caso, las sociedades cuyo giro sea el de corredor de bolsa o de agente
de valores, quedan autorizadas para invertir en las acciones que puedan adquirir
para sí, hasta el límite del 5% del capital pagado de las respectivas sociedades
emisoras, conforme a las normas de la Ley sobre Mercado de Valores y las
instrucciones de la Superintendencia de Valores y Seguros a cuya fiscalización
se encuentran sometidas. Además, los corredores de bolsa pueden adquirir, dentro
de ese límite, las acciones de bolsas de valores que requieran para cumplir su
función.
Asimismo, las sociedades filiales administradoras de fondos de inversión, podrán
adquirir cuotas de fondos de inversión constituidos por acciones y demás
instrumentos que la ley establece, con las características, límites y condiciones
que la misma ley indica.
CapítulO 11-7
Hoja 7
Dichos convenios persiguen una cooperación recíproca que permita al organismo
supervisor del país en que reside una sociedad matriz, efectuar un seguimiento
oportuno de la actividad de una filial o sucursal en el exterior, mediante la
colaboración del organismo supervisor del país anfitrión, y le otorgue a este
último un adecuado conocimiento de la situación de la matriz y del grupo
económico en su conjunto.
En ese contexto, los convenios deben referirse a aspectos tales como: la
necesidad de supervisar, en sus respectivos ámbitos, la organización, gestión,
riesgos, controles internos, suficiencia de capital y todos los aspectos que
pueden afectar la solvencia y estabilidad de las empresas, debiendo disponerse
de información de las entidades que componen el grupo; el intercambio de
información relevante acerca de las empresas y de su entorno, en todo lo que
pueda repercutir en su estabilidad; la posibilidad de que el supervisor de la
matriz realice inspecciones "in-situ" a las subsidiarias en el extranjero, con
la anuencia previa o con participación de la entidad supervisora del país
anfitrión; el intercambio de información relevante acerca de los resultados de
las respectivas inspecciones realizadas; etc. Todo ello, con los
correspondientes resguardos de la confidencialidad de la información
sujeta a reserva por las disposiciones legales de los respectivos países.
6. Servicios de procesamiento de datos prestados por el banco matriz.
Los bancos podrán prestar servicios de procesamiento de datos a sus sucursales o
filiales en el exterior, en todo aquello permitido por las regulaciones del país
anfitrión.
III. SUCURSALES EN EL EXTERIOR.
1. Facultad para abrir sucursales en el exterior.
El artículo 81 de la Ley General de Bancos faculta a las empresas bancarias para
abrir sucursales en el exterior, sujetas a las normas de operación que la propia
ley establece expresamente y a la fiscalización de esta Superintendencia.
2. Capital asignado.
En el caso de que los bancos consoliden con sus sucursales en el exterior, se
considerará como capital asignado, para los efectos previstos en el artículo 81
de la Ley General de Bancos, así como para las exigencias de capital de la
matriz y para los límites de crédito, el valor de la inversión efectuada en
ellas que la casa matriz tenga registrado en su activo, de acuerdo con las
normas contables que consideran los aportes efectivos de capital.
Dicho capital asignado será el que se aplique para los requerimientos de capital
y límites para las operaciones de sucursales en el exterior mencionados en el
N° 3 siguiente.
Si el banco tiene más de una sucursal en un mismo país, se considerará el conjunto
de esas sucursales como una sola entidad para estos efectos.