CAPITULO

20-7: EXTERNALIZACIN DE SERVICIOS.

ID SECCIN DESCRIPCIN PREGUNTA CLAVE TIPO DE PROCESO

ALCANCE Contrataciones de proveedores de Podra el banco realizar la actividad a
servicios externos que podran ser externalizar?
efectuadas internamente por la
entidad bancaria.
1
No son aplicables aquellos servicios La ley ha definido que el servicio
que la ley hadefinido que deben ser debe ser prestado por entidades de
prestados por entidades de giro giro exclusivo?
exclusivo.
2
Los servicios contratados siempre Fue realizado el proceso de
debern ser considerados dentro de evaluacin y gestin de riesgo
sus procesos generales de evaluacin operacional?
y gestin de riesgo operacional.
3
No contemplan como actividades El servicio contempla actividades
posibles de externalizar aquellas prohibidas a externalizar por la
relacionadas con la captacin de autoridad?
dinero, la apertura de cuentas
corrientes y vinculadas a funciones de
4 control interno.

PRINCIPALES RIESGOS La externalizacin de servicios se ve Fueron contemplados los distintos

afectada por los riesgos operacional, riesgos que pudieran afectar a la
estratgico, reputacional, de externalizacin de servicios dentro del
cumplimiento, de pas, de proceso de evaluacin de los mismos?
concentracin y legal, entre otros.
5
ID SECCIN DESCRIPCIN PREGUNTA CLAVE TIPO DE PROCESO
Una solida gestin de riesgos se basa Existe un manual de poltica y
en la existencia de una adecuada procedimientos que incluye el proceso
estructura de gobierno, un marco con basico de gestin de riesgo que
polticas, normas y procedimientos recomienda la autoridad (IECMMR)?
que permita identificar, evaluar,
controlar, mitigar, monitorear y
reportar los riesgos ms relevantes
(IECMMR).

6
Medidas adicionales de mitigacin El proveedor concentra un nmero
deben ser consideradas al contratar un importante de entidades financieras?
proveedor de servicios que concentre
un nmero importante de entidades
financieras.
7
Medidas adicionales de mitigacin El proveedor concentra varias
deben ser consideradas cuando el actividades signicicativas?
banco entrega varias actividades
significativas a un mismo proveedor.
8

CONDICIONES Mantener una poltica debidamente Existe una poltica aprobada por el
9 GENERALES aprobada por el Directorio. Directorio?
Establecer procedimientos formales Existe un procedimiento formal que
para la seleccin, contratacin y incluyan los tres aspectos solicitados
10 monitoreo de proveedores (SCM). por la autoridad? (SCM)
ID SECCIN DESCRIPCIN PREGUNTA CLAVE TIPO DE PROCESO
Velar que el proveedor y el personal a Fue verificado que el proveedor y el
cargo de los servicios contratados personal a cargo poseen adecuado
posean adecuados conocimientos y conocimiento y experiencia?
experiencia.

11
Mantener un catastro actualizado de Existe un catastro de los servicoos
todos los servicios contratados con contratados identificando aquellos
empresas externas, identificando que sean estartegicos y de alto riesgo?
aquellos que sean estratgicos y de
12 alto riesgo.
Establecer procedimientos que Existen planes contingencia ante
aseguren el cumplimiento oportuno y eventuales fallas en los servicios
cabal de los compromisos que tienen contratados?
con sus clientes.
13
Velar por la existencia de auditoras Existen auditorias independientes
independientes al proceso de programadas para la revisin de los
seleccin, contratacin y seguimiento procesos de seleccin, contratacin y
de los proveedores. seguimiento de los proveedores?
14
Exigir a los proveedores de servicios Existe un proceso de revisin
que los procedimientos operacionales, permanente a los manuales de
administrativos y tecnologicos se procedimientos de los proveedores
encuentren debidamente actualizados relacionado con el servicio
15 y permanentemente a disposicin para contratado?
su revisin por parte de la SBIF. El manual de procedimientos del
proveedor se encuentra disponible?
Considerar los riesgos que provienen Existe cadena de servicios en el
de las cadenas de servicios servicio contratado?
17 externalizados, lo que debe quedar
reflejado en el contrato respectivo en Fue reflejada la cadena de servicio en
forma previa, sealandose que en caso el contrato?
de subcontratacin, la empresa
subcontrada debe cumplir tambin con
las condiciones pactadas entre el banco
y el proveedor de sevicios inicial.
 Considerar los riesgos que provienen
de las cadenas de servicios
externalizados, lo que debe quedar
reflejado en el contrato respectivo en
forma previa, sealandose que en caso
ID SECCIN DESCRIPCIN
de subcontratacin, la empresa PREGUNTA CLAVE TIPO DE PROCESO
subcontrada debe cumplir tambin con Fue incorparadas las empresas
las condiciones pactadas entre el banco subcontratadas en las condiciones de
y el proveedor de sevicios inicial. cumplimiento exigida por el banco en
el contrato original?

El banco debe incorporar en sus Los reportes de riesgo operacional al

reportes de riesgos operacional para el Directorio incluyen la gestin para
Directorio informacin respecto de la administrar los riesgos de
gestin para administrar los riesgos de Outsourcing ?
18 Outsourcing , incluyendo cambios en el
perfil de riesgos y la exposicin a Estos reportes incluyen a lo menos
aquellos servicios considerados crticos. cambios en el perfil de riesgos y la
exposicin de los servicios crticos?

Los datos, plataformas tecnolgicas y Existe procesamiento de datos en el

aplicaciones a utilizar en la servicio contratado?
19 externalizacin de los servicios deben
encontarse en sitios de procesamiento El sitio de procesamiento de datos se
especficos y para el caso de encuentra en un lugar idoneo?
procesamiento en el extranjero, en una
El procesamiento de datos se
jurisdiccin definida y conocida.
encuentra en el extranjero?

La juridiccin fuera del pas es

definida y conocida?

POLTICA Definicin de la estructura de gobierno Existe una estructura de Gobierno y

y de los procedimientos. procedimientos?

20
Descripcin de las herramientas Existe una herramienta especfica de
especficas de evaluacin de riesgos. evaluacin de riesgo?

21
ID SECCIN DESCRIPCIN PREGUNTA CLAVE TIPO DE PROCESO
Criterios para definir los umbrales o Existen umbrales claramente
lmites permitidos o de tolerancia al definidos en relacin a los riesgos
risgo inherente y residual, asi como los inherentes y residual en el
instrumentos y estrategias de Procedimiento de Procurement?
mitigacin y monitoreo.
22
Criterios particulares de contratacin, Existen criterios particulares cuando
cuando se trate de una entidada se trata de entidades relacionadas?
relacionada.

23
Elementos que sern considerados Exiten claros elementos que
para determinar aquellos servicios que determinan si una actividad es
se encuentran asociados con significativa o estratgica?
actividades significativas o
24 estrategicas.
Definicin de actividades que slo Existen actividades que slo pueden
pueden externalizarse previa ser aprobadas por el Directorio?
aprobacin del Directorio.

25
Periodiciad de la revisin de la poltica, La poltica de las funciones de
especialmente cuando existan cambios procurement son revisadas y
relevantes en el perfil de riesgo. aprobadas perdicamente o cuando
existan cambios en los perfiles de
riesgo?
26
Elementos mnimos que deben Estn claramente identificados los
incorporar en el contrato elementos que deben ser
incorporados en los contratos de
servicios?
27
ID SECCIN DESCRIPCIN PREGUNTA CLAVE TIPO DE PROCESO
Definicin de los mecanismos para Existe un mecanismo para obtener el
contar con la autorizacin previa de consentimiento de los clientes?
cada cliente en caso que el servicio a
externalizar incluya la transmision de
datos fuera del pas.
28
Definicin de los elementos Estn definidas las actividaes no
relacionados a la gestin de riesgo que estratgicas en el Procedimiento de
no les sean aplicables a actividades no Procurement?
estratgicas que se realicen
29 localmente.

CONTINUIDAD DEL El banco debe verificar que los

NEGOCIO proveedores de servicios crticos
cuentan con planes apropiados que
aseguren la continuidad de los
servicios contratados.
30
Los planes deben ser probados al
menos una vez al ao incluyendo,
cuando corresponda, el escenario de
desastre de sus distintos sitios de
procesamiento, verificando los
resultados obtnidos.
31
El banco debe disponer de planes,
igualmente probados, para asegurar la
continuidad operacioanl ante la
contingencia de no contar con dicho
servicio externo.
32
ID SECCIN DESCRIPCIN PREGUNTA CLAVE TIPO DE PROCESO
SEGURIDAD DE LA El banco debe cerciorarse que el
INFORMACIN proveedor de servicio mantiene un
programa de seguridad de la
informacin que le permita asegurar la
confidencialidad, integridad,
trazabilidad y disponibilidad de sus
activos de informacin y la de sus
cleinets.
33
Estas condiciones deben ser
consistentes con las politicas y
estandares adoptados por la entidad y
quedar incorpordas en el contrato de
34 prestacin de servicio.
La informacin una vez procesada debe
ser almacenada y trasportada en
forma encriptada, manteniendose las
llaves de desencriptacin en poder del
35 banco.
Se deben verificar los procedimientos
de intercambio de claves entre el
proveedor de servicios y el banco.
36
Establecer los roles y
responsabilidades de las personas
involucradas en la administracin de la
37 seguridad.
En el caso de documentacin fisica, la
entidad deber contar con
procedimientos de control que velen
por el debido cumplimiento de las
condiciones sealadas en los
requerimientos de seguridad de la
informacin para proveedores
38 externos.
ID SECCIN DESCRIPCIN PREGUNTA CLAVE TIPO DE PROCESO
Se deben establecer los
procedimientos que aseguren el
adecuado traspaso de informacin a la
entidad por parte del proveedor, y que
este en ningun caso mantenga
informacin en su poder despus de
finalizada la relacin contractual.
39

RIESGO PAIS No se podrn externalizar servicios en

juridicciones que no cuenten con
calificacin de riesgo pas en grado de
inversin.
40
Las sucursales o filiales de entidades
extranjeras podrn encargar la
prestacin de servicios a otras
subsudiarias de la misma entidad que
se encuentren situadas en pases con
una calificacin distinta al grado de
inversin, en actividaes que no sean
consideradas significativas o
estratgicas.
41
En el caso de entidades que mantengan
servicios externalizados en pases que
pierdan su grado de inversin, deberan
informar a esta superintendencia
sobre el efectop que este hecho
produjo en la calidad e idoneidad de los
42 servicios contratados.

RESPONSABILIDAD La responsabilidad por la gestin global

de los riesgos y funciones de control
deber mantenerla en el pais.

43
ID SECCIN DESCRIPCIN PREGUNTA CLAVE TIPO DE PROCESO
El banco deber comunicar en forma
inmediata a esta Superintendencia
cuando corresponda los incidentes
operacionales relevantes que afecten
un servicio externalizado en el pas o en
el exterior.
44

SUPERVISOR El banco debe asegurar que la SBIF

tenga acceso permanente, sea
mediante visitas a las instalaciones de
los proveedores o por va remota, a
todos los registros, datos e informacin
que se procesen, mantengan o generen
a traves del proveedor externo, ya sea
en el pais o en el exterior.
45
Al tratarse de un proveedor de
servicios establecido en el exterior,
deber presentarse especial atencin a
las restricciones legales del pas
anfitrin que pudiera impedir la visita
de la SBIF al proveedor o el acceso a la
informacin.
46
El banco debera incorporar dentro del
anlisis aquellos aspectos relacionados
con los riesgos legales a la que se
expone la informacin sujeta a secreto
o reserva bancaria establecida en la
LGB.
47
ID SECCIN DESCRIPCIN PREGUNTA CLAVE TIPO DE PROCESO
PROCESAMIENTO DE Cuando el servicio de procesamiento
DATOS de datos, total o parcial, se realice por
una empresa situada en el pas, la
institucin deber comprobar que la
infraestructura tecnolgica y los
sistemas que se utilizarn para la
comunicacin, almacenamiento y
procesamiento de datos, ofrecen
suficiente seguridad para resguardar
permanentemente la continuidad del
negocio, confidencialidad, integridad,
exactitud y calidad de la informacin.
48
Deber verificar que las condiciones
del servico local garantizan la
obtencin oportuna de cualquier
registro, dato o informacin que
necesite, sea para sus propios fines o
para cumplir con los requerimientos de
las autoridades competentes.
49
En cuanto al centro de procesamiento
de datos de contingencia del proveedor
local deber cumplir con las
condiciones de ubicacin y distancia
del centro de procesamiento de datos
principal, que garanticen la continuidad
operacioanl.
50
En el caso que la entidad externalice
servicios de procesamiento de datos
fuera del pas, debera disponer en
todo momento de los antecedentes de
la empresa contratada. (financieros,
certificados de calidad, seguridad y
sistemasd e control)
51
ID SECCIN DESCRIPCIN PREGUNTA CLAVE TIPO DE PROCESO
El banco deber disponer de los
antecedentes del proyecto, del
contrato de servicios y, en el caso de
existir subcontratos con terceros, estos
tambin deben ser incorporados para
el caso de servicos en el extranjero.
52
Para actividades significativas o
estratgicas contratadas en el exterior
se deber contar con un
procesamiento de datos de
contingencia en chile, demostrar un
tiempo de recuperacin compatible
con la criticidad del servicio y evaluiar
los tiempos de recuperacin al menos
53 una vez al ao.
Para actividades significativas o
estratgicas contratadas en el exterior
se deber contar con el control y
monitoreo del servicio externalizado
en el centro de procedsamiento de
datos, especialmente en relacin con
seguridad de la informacin,
continuidad del negocio y condiciones
de operacin del centro de
54 procesamiento.
Para actividades significativas o
estratgicas contratadas en el exterior
los centros de procesamiento de datos
principal y alternativo debern tener
una infraestructura que les permita
contar al menos con capacidad de
mantenimiento simultaneo, ademas
de una ubicacin y distancia que
garantice su operacin bajo escenarios
de indisponibilidad que puedan
55 afectarlos.
ID SECCIN DESCRIPCIN PREGUNTA CLAVE TIPO DE PROCESO
Los servicios externos necesarios para
operar con corresponsalas debern
contemplar los aspectos minimos que
deben considerarse para la
externalizacin de servicios.
56

SBIF SBIF examir la gestion de riesgos que

realiza la entidad sobre la
externalizacin de servicios, como
parte de las evaluaciones de que trata
el capitulo 1-13
57
En caso de incumplimiento a la
normativa, y en especial en relacin a
las actividades significativas o
estratgicas o que los exponga a
riesgos operacionales relevantes, podra
requerir que los servicios se realicen en
el pas, o sean ejecutados
internamemte por el banco.
58
El banco deber mantener
permanentemente actualizado un plan
que posibilite cumplir con esos
59 eventuales requerimientos.