Todos queremos ser proveedores de los bancos, pero en este proceso lo más probable es que nos encontremos con ciertos requisitos que nos obligarán a ser más estructurados y ordenados. Posiblemente tendremos que demostrar que somos capaces de entregar un buen servicio e invertir en mejorar nuestros procesos, llevar un estricto control sobre los riesgos, entender el negocio y dar seguridad de que el proceso está en buenas manos. Actualmente, las entidades financieras externalizan algunos procesos críticos y están obligados por el regulador a llevar un control de estos procesos. Para esto los proveedores deben estar preparados para una serie de requerimientos.

Los bancos en su constante búsqueda por mejorar sus servicios y hacer más eficientes sus procesos, buscan que sus proveedores cumplan con una serie de elementos diferenciadores. Aquí comienzan a aparecer los procesos de selección de proveedores, el cumplimiento regulatorio y algunas auditorías para organizaciones de servicio, sumado a una serie de requisitos, los cuales implican un esfuerzo constante por parte de los proveedores de servicios críticos.

Cuando una institución financiera externaliza uno de sus procesos, requiere un proveedor que entregue un servicio de calidad. Es aquí donde es necesario establecer políticas y procedimientos, identificar los riesgos clave y generar objetivos de control y controles. ¿Cómo estar preparados?, ¿cuál proceso es más importante?, ¿estaremos cumpliendo con todo lo requerido por el banco?

Muchas dudas aparecen en el camino, sin embargo, el curso de acción para ser considerado como un proveedor crítico para la banca es siempre estar en un proceso de mejora continua, centrando los esfuerzos en los procesos de interés para las entidades financieras. Entre los elementos de interés para los bancos existen elementos comunes en todas las organizaciones de servicio, entre los cuales podemos mencionar: la continuidad de los servicios críticos para las entidades financieras, la mantención de la confidencialidad, integridad y disponibilidad de la información crítica y una adecuada gestión de los riesgos y funciones de control.

Todos estos requerimientos nacen del regulador, la Superintendencia de Bancos e Instituciones Financieras, la que incluye en una recopilación actualizada de normas un capítulo dedicado al procesamiento externo de actividades (RAN 20-7). De aquí nacen algunos requerimientos asociados a los bancos, quienes deben velar por las contrataciones de proveedores externos cuando realicen una o más actividades, funciones o procesos operativos, que podrían ser también efectuados internamente por un banco. Adicionalmente, cada banco debe cumplir con sus propias exigencias internas. En este contexto, pueden surgir otros requerimientos relacionados con las auditorías financieras, como por ejemplo procesos ISAE 3402, que buscan obtener seguridad razonable de que los objetivos y controles de los procesos externalizados operan correctamente durante un período.

Existen algunas soluciones que ya son aplicadas con éxito en Chile y en otros países y que aportan a las organizaciones de servicio algunos de los elementos mencionados. Aquí podemos ver a entidades que poseen un nivel de madurez al presentar su informe ISAE 3402 (SOC 1). Sin embargo, algunos ámbitos relacionados a controles operacionales no están cubiertos en este proceso.

Entre las soluciones que aparecen con fuerza para cubrir estos procesos están los informes SOC 2 (service organization controls reports), cuyo ámbito de aplicación puede ayudar a las organizaciones de servicio a estructurar y ordenar sus procesos en temas como continuidad, seguridad, confidencialidad, integridad y privacidad. En Chile estos procesos no han sido implementados, sin embargo, la tendencia internacional nos avisa que estos procesos serán requeridos.

El autor es gerente de IT Attestation KPMG Chile.