Mediante la Circular Externa 025 de 2020, la Superintendencia Financiera de Colombia (“SFC”) actualizó las instrucciones relativas a la gestión del riesgo operacional para entidades vigiladas, incluidas las aseguradoras; como consecuencia, modificó algunas disposiciones del Capítulo XXIII de la Circular Básica Contable y Financiera (CBCF).

La entidad definió el riesgo operacional como “la posibilidad de que la entidad incurra en pérdidas por las deficiencias, fallas o inadecuado funcionamiento de los procesos, la tecnología, la infraestructura o el recurso humano, así como por la ocurrencia de acontecimientos externos asociados a estos. Incluye el riesgo legal”. 

Uno de los aspectos centrales de esta actualización corresponde al riesgo operacional derivado de los procesos de tercerización u outsourcing y el impacto que estos pueden tener en la operación de las entidades vigiladas, lo cual también representa un riesgo legal y un medio por el cual se podrían materializar fraudes. 

Por eso, además de todos los controles que las entidades vigiladas deben adoptar mediante su sistema de administración de riesgos, la SFC restringió el alcance de los acuerdos de tercerización, pues estos no pueden implicar una delegación de profesionalidad. Esto es que, mediante los contratos que celebran con terceros para la prestación de servicios, las entidades vigiladas no pueden delegar las funciones esenciales de la actividad profesional que el estado, en cabeza de la SFC, les autorizó ejercer. En efecto, en el numeral 3.1.3.1 se dispone lo siguiente:

“La entidad podrá contratar bajo la modalidad de tercerización a personas naturales y/o jurídicas para el desarrollo de sus procesos, siempre que no implique la delegación de la profesionalidad. En todo caso, la entidad debe: (i) realizar un análisis de riesgo para determinar los procesos y/o actividades a tercerizar; (ii) comprender el riesgo operacional asociado a los procesos y/o actividades tercerizadas; (iii) contar con políticas eficaces para incorporar en su estrategia de riesgos, aquellos derivados de la tercerización; y (iv) determinar dentro de los procesos y/o actividades tercerizadas aquellos que se consideren críticos. “

Cabe destacar que el concepto de delegación de profesionalidad había sido tratado anteriormente por la SFC en diversos conceptos, pero, mediante la expedición de esta circular, también fue incluido en la normatividad aplicable a sus entidades vigiladas.