Buscar search
Índice developer_guide

CARTA CIRCULAR 14 DE 2026

(marzo 4)

Boletín Ministerio de Hacienda, Capítulo Superintendencia Financiera de Colombia, No. 803 de 6 de marzo de 2026

SUPERINTENDENCIA FINANCIERA DE COLOMBIA

Señores:Representantes legales, miembros de junta directiva, revisores fiscales, oficiales de cumplimiento, oficiales de seguridad de la información, defensores del consumidor financiero de las entidades vigiladas.
Referencia: Cumplimiento de obligaciones en materia de Tercerización- Outsourcing

Respetados señores:

El numeral 2 de la Parte I, Título II, Capítulo I, de la Circular Básica Jurídica de la Superintendencia Financiera (C.E. 006 de 2025), establece la obligación para las entidades vigiladas de incorporar, dentro de sus políticas y procedimientos relativos a la administración de la información, criterios y requerimientos mínimos de seguridad y calidad de la información que se maneja a través de los canales e instrumentos utilizados para la realización de operaciones.

En ese sentido, en lo relacionado con la prestación de servicios financieros a través de terceros, el numeral 2.3.6 de la Parte I, Título II, Capítulo I de la Circular Básica Jurídica de la Superintendencia Financiera (C.E. 006 de 2025) establece los requerimientos que deben cumplir las entidades contratadas bajo la modalidad de outsourcing o tercerización –sean personas naturales o jurídicas– cuando participen en la atención parcial o total de los distintos canales o de los dispositivos utilizados en ellos, o cuando, en desarrollo de su actividad, tengan acceso a información confidencial de la entidad o de sus clientes.

Por otro lado, el numeral 4.3.1.3.1. del Capítulo XXXI, Parte II de la Circular Básica Contable y Financiera (C.E. 100 de 1995), incorpora requerimientos y directrices adicionales para la contratación de terceros, siempre que ello no implique la delegación de la profesionalidad propia de la entidad vigilada, relativos a que las entidades deben: (i) realizar un análisis de riesgo para determinar los procesos y/o actividades a tercerizar; (ii) comprender el riesgo operacional asociado a los procesos y/o actividades tercerizadas; (iii) contar con políticas eficaces para incorporar en su estrategia de riesgos, aquellos derivados de la tercerización; y (iv) determinar dentro de los procesos y/o actividades tercerizadas aquellos que se consideren críticos. Tratándose de los procesos y/o actividades identificadas como críticos para la entidad, establece una serie de obligaciones listadas en la Circular que son también de obligatorio cumplimiento.

De igual manera, para el uso de servicios de computación en la nube, el numeral 3 de la Parte I, Título I, Capítulo VI de la Circular Básica Jurídica de la Superintendencia Financiera (C.E. 006 de 2025) establece los requerimientos que deben cumplir las entidades para la prestación de servicios financieros en esta modalidad, en el que se establece, entre otros aspectos, que las entidades deben dar cumplimiento a las disposiciones contenidas en el Capítulo XXXI «Sistema Integral de Administración de Riesgos (SIAR)» de la Circular Básica Contable y Financiera (CBCF) o las normas que lo modifiquen o sustituyan, en lo relacionado con el proveedor de servicios de computación en la nube, obligaciones que también aplican a los terceros contratados por los proveedores de servicios de computación en la nube (subcontratistas o partners).

Así mismo, en relación con los requerimientos mínimos para la gestión de la seguridad de la información y la ciberseguridad, el numeral 3.9 de la Parte I, Título IV, Capítulo V, de la Circular Básica Jurídica de la Superintendencia Financiera (C.E. 006 de 2025) establece la obligación de incluir en los contratos que se celebren con terceros críticos, las medidas y obligaciones pertinentes para la adopción y el cumplimiento de políticas para la gestión de los riesgos de seguridad de la información y ciberseguridad.

Es así como la tercerización se ha consolidado como una tendencia creciente que permite a las entidades incrementar su eficiencia operativa, optimizar el uso de procesos y recursos, reducir costos y fortalecer sus actividades misionales. Asimismo, contribuye a la disminución de cargas administrativas y al desarrollo de procesos más ágiles, al tiempo que posibilita el apoyo en proveedores especializados para la ejecución de diversas actividades, tales como la provisión de equipos de cómputo y seguridad, software y soluciones de comunicaciones, así como servicios de correspondencia, transmisión de información y transporte de valores, entre otros.

No obstante, dicha actividad de tercerización conlleva riesgos que deben ser debidamente gestionados, ya que su materialización puede afectar la seguridad, calidad y continuidad de los servicios prestados, generar repercusiones legales, reputacionales y afectaciones a derechos, generar costos significativos y, en general, obstaculizar el cumplimiento de los objetivos organizacionales y afectar la prestación de servicios a los consumidores financieros.

Bajo esa perspectiva, la Superintendencia Financiera de Colombia, en ejercicio de sus funciones legales de inspección, vigilancia y control, recuerda a las entidades bajo su vigilancia que, son responsables de realizar un análisis de riesgos de los procesos y actividades a tercerizar, de comprender el riesgo operacional al que se ven expuestos tales terceros y de contar con políticas efectivas que permitan incorporar en la estrategia de gestión de riesgos aquellos derivados de la tercerización, al tiempo que deben identificar cuáles procesos y actividades son críticas.

Así mismo, las entidades vigiladas deben contar con los procedimientos y herramientas que le permitan verificar el cumplimiento de las obligaciones por parte del tercero, lo que la habilita para exigir y hacer el seguimiento respectivo en la gestión de los riesgos derivados de la actividad tercerizada, la cual debe ser incorporada en las evaluaciones efectuadas por la función de gestión de riesgos y la Auditoría Interna.

Adicionalmente, se recuerda que de conformidad con el literal a) del artículo 3o de la Ley 1328 de 2009, dentro de los principios orientadores que rigen las relaciones entre los consumidores financieros y las entidades vigiladas se destaca el de debida diligencia. Este principio exige que las entidades actúen con el nivel de diligencia necesario al ofrecer sus productos y prestar sus servicios, de manera que los consumidores reciban información suficiente, atención adecuada y un trato respetuoso en todas las etapas de la relación que establezcan con la entidad.

Finalmente, la Superintendencia Financiera recuerda que las anteriores disposiciones normativas y las instrucciones impartidas por esta Entidad son de obligatorio cumplimiento por parte de nuestras entidades vigiladas.

Cordialmente,

CESAR FERRARI Ph.D

Superintendente Financiero de Colombia

×
Volver arriba