Las entidades bajo la supervisión de la Superintendencia de Banca, Seguros y AFP (SBS) utilizan cada vez más servicios de terceros para el desarrollo de sus actividades y la mejora de sus servicios. Ello puede generar una mayor eficiencia y propuesta de valor, aunque también genera retos y riesgos importantes.

Evolución

La mayor parte de las entidades utilizan servicios provistos por terceros desde hace muchos años. Se trata de servicios que no pueden realizar por cuenta propia (por ejemplo, servicios básicos, telecomunicaciones y transporte de valores, entre otros) o para hacer un uso más eficiente de los recursos asignados a tareas especializadas de soporte (por ejemplo, courier, asesoría legal, etc.); es decir, en actividades operativas y no estratégicas para las empresas, aunque también ocasionalmente para tener acceso a mayores capacidades y experiencia

En los últimos años, impulsado por el proceso de transformación digital de sus operaciones, este uso de los servicios de terceros ha cambiado de manera considerable. Estos servicios han pasado de desempeñar un rol secundario a ser motivo de decisiones estratégicas para acceder a recursos con un alto nivel de especialización o enfoque. Contratar servicios especializados es ahora una condición frecuentemente necesaria para operar de manera eficiente y escalable.

Los retos de gestionar las relaciones con terceros

Este mayor uso de los servicios de terceros implica un cambio significativo en el nivel de dependencia a dichos servicios, y en la complejidad de las relaciones asociadas, que generan mayores dificultades para comprender su naturaleza y dependencia.

Entre los aspectos que incrementan la complejidad de las operaciones se encuentran que muchos de los terceros proveedores cuentan a su vez con otros proveedores, flujo de información transfronteriza y limitada oferta de proveedores de servicios estratégicos, como el procesamiento en la nube, que requiere de una gran inversión en infraestructura tecnológica especializada.

Asimismo, si bien en algunos casos esta disponibilidad de servicios puede facilitar el ingreso y desarrollo rápido de operaciones de las entidades pequeñas, también pueden presentarse barreras al acceso y a condiciones apropiadas; así como, a la posibilidad real de asumir por cuenta propia o trasladar fácilmente las operaciones en caso de falla de los servicios de terceros.

En esta situación, existen riesgos operacionales, de ciberseguridad, financieros, cumplimiento normativo, reputacionales, privacidad y concentración que, de no ser gestionados de manera adecuada, podrían afectar la estabilidad financiera. En el caso de la pandemia del Covid-19, ha resultado clara la importancia de: i) contar con planes de continuidad ante la falla o indisponibilidad de proveedores; ii) tener proveedores alternos y/o capacidades internas que permitan continuar con las operaciones más críticas; y, iii) contar con roles y responsabilidades claras respecto a los servicios subcontratados.

Lo que estamos haciendo al respecto

En general, en la SBS consideramos que las entidades bajo su supervisión mantienen la responsabilidad y rendición de cuentas de la gestión de todas sus obligaciones regulatorias, incluyendo aquellos servicios tercerizados. Asimismo, la tercerización de servicios como la computación en la nube e inteligencia artificial, entre otras tecnologías, requieren de disposiciones específicas; aspectos que venimos desarrollando progresivamente mediante el ajuste a nuestro marco regulatorio.

En este sentido, hemos realizado mejoras importantes en las definiciones y expectativas asociadas a los servicios subcontratados -enfoque principal vigente hasta hace poco- para ampliar las disposiciones a todos los servicios provistos por terceros, sobre todo aquellos que, en caso de falla o suspensión, pueden poner en riesgo importante a la entidad, al afectar sus ingresos, solvencia, continuidad operativa o reputación; así como para establecer disposiciones específicas en el caso del procesamiento de datos en la nube.

Estos cambios realizados en 2021 son consistentes con lo señalado en el reciente documento “Principios para la resiliencia operativa” (Comité de Supervisión Bancaria de Basilea, marzo 2021) y se ven reflejados en las actualizaciones a las normativas SBS aplicables a la gestión integral de riesgos, gestión de riesgo operacional y gestión de la seguridad de la información y ciberseguridad.