CIRCULAR 27 DE 2018
(diciembre 18)
Boletín Ministerio de Hacienda, Capítulo Superintendencia Financiera de Colombia, No. 469 de 20 de diciembre de 2018
SUPERINTENDENCIA FINANCIERA
Señores
REPRESENTANTES LEGALES DE LAS BOLSAS DE VALORES, BOLSAS DE BIENES Y PRODUCTOS AGROPECUARIOS, AGROINDUSTRIALES O DE OTROS COMMODITIES, LOS DEPÓSITOS CENTRALIZADOS DE VALORES, LAS CÁMARAS DE RIESGO CENTRAL DE CONTRAPARTE, LOS SISTEMAS DE COMPENSACIÓN Y LIQUIDACIÓN DE VALORES, LOS SISTEMAS DE COMPENSACIÓN Y LIQUIDACIÓN DE DIVISAS, LOS PROVEEDORES DE PRECIOS, LOS ADMINISTRADORES DE SISTEMAS DE NEGOCIACIÓN DE VALORES Y/O REGISTRO DE OPERACIONES SOBRE VALORES, LOS ADMINISTRADORES DE SISTEMAS DE NEGOCIACIÓN DE DIVISAS Y/O REGISTRO DE OPERACIONES SOBRE DIVISAS, Y LAS SOCIEDADES DE FINANCIACIÓN COLABORATIVA.
Referencia: Instrucciones relacionadas con el reporte de fallas en los sistemas, y la realización de pruebas y proyectos que tengan el potencial de generar impacto sobre los mercados, así como las pruebas integrales de los proveedores de infraestructura del mercado de valores para que se garantice el flujo de la información para el esquema de la custodia de valores.
Apreciados señores:
Con el fin de garantizar el adecuado suministro de información a los participantes del mercado de valores ante eventos que generen interrupciones en la prestación de los servicios que impidan la realización de sus operaciones, y garantizar el flujo de la información para el esquema de la custodia de valores, este Despacho, en ejercicio de sus facultades legales y en particular las establecidas en el numeral 5o de artículo 11.2.1.4.2 del Decreto 2555 de 2010, considera pertinente impartir las siguientes instrucciones:
PRIMERA: Adicionar el subnumeral 2.3.3.1.24 al Capítulo I del Título II de la Parte I de la Circular Básica Jurídica, relativo a los eventos en materia de seguridad de la información que deben reportar los proveedores de infraestructura.
SEGUNDA: Modificar el numeral 10 del Capítulo VI del Título IV de la Parte III de la Circular Básica Jurídica, relativo a las condiciones en que se deben adelantar pruebas integrales de los proveedores de infraestructura del mercado de valores para garantizar el flujo adecuado de la información del esquema de custodia de valores.
La presente circular rige a partir de su publicación.
Se anexan las páginas objeto de modificación.
Cordialmente,
JORGE CASTAÑO GUTIÉRREZ
Superintendente Financiero de Colombia
2.3.3.1.11. Establecer los mecanismos necesarios para que el mantenimiento y la instalación o desinstalación de programas o dispositivos en las terminales o equipos de cómputo sólo pueda ser realizado por personal debidamente autorizado.
2.3.3.1.12. Establecer procedimientos para el bloqueo de canales o de instrumentos para la realización de operaciones, cuando existan situaciones o hechos que lo ameriten o después de un número de intentos de accesos fallidos por parte de un cliente, así como las medidas operativas y de seguridad para la reactivación de los mismos.
2.3.3.1.13. Elaborar el perfil de las costumbres transaccionales de cada uno de sus clientes y definir procedimientos para la confirmación oportuna de las operaciones monetarias que no correspondan a sus hábitos.
2.3.3.1.14. Realizar una adecuada segregación de funciones del personal que administre, opere, mantenga y, en general, tenga la posibilidad de acceder a los dispositivos y sistemas usados en los distintos canales e instrumentos para la realización de operaciones. En desarrollo de lo anterior, las entidades deben establecer los procedimientos y controles para el alistamiento, transporte, instalación y mantenimiento de los dispositivos usados en los canales de distribución de servicios.
2.3.3.1.15. Definir los procedimientos y medidas que se deben ejecutar cuando se encuentre evidencia de la alteración de los dispositivos usados en los canales de distribución de servicios financieros.
2.3.3.1.16. Sincronizar todos los relojes de los sistemas de información de la entidad involucrados en los canales de distribución. Se debe tener como referencia la hora oficial suministrada por la Superintendencia de Industria y Comercio.
2.3.3.1.17. Tener en operación sólo los protocolos, servicios, aplicaciones, usuarios, equipos, entre otros, necesarios para el desarrollo de su actividad.
2.3.3.1.18. Contar con controles y alarmas que informen sobre el estado de los canales, y además permitan identificar y corregir las fallas oportunamente.
2.3.3.1.19. Incluir en el informe de gestión a que se refiere el art. 47 de la Ley 222 de 1995 –modificado por el art. 1 de la Ley 603 de 2000-, un análisis sobre el cumplimiento de las obligaciones enumeradas en la presente Circular.
2.3.3.1.20. Considerar en sus políticas y procedimientos relativos a los canales de distribución, la atención a personas con discapacidades físicas, con el fin de que no se vea menoscabada la seguridad de su información.
2.3.3.1.21. Los establecimientos de crédito deben adoptar mecanismos que le permitan atender las operaciones de los consumidores financieros, por los canales que resulten necesarios y por las cuantías que determine razonables, para garantizar un nivel mínimo de prestación de sus servicios a los consumidores financieros, cuando la entidad opere fuera de línea.
2.3.3.1.22. Los establecimientos de crédito deben enviar trimestralmente a la SFC, a la dirección de correo riesgooperativo@superfinanciera.gov.co, un informe sobre la disponibilidad mensual de cada uno de los canales por medio de los cuales presta sus servicios en el que se incluya el detalle de la metodología utilizada para el cálculo de la disponibilidad. Se entiende por disponibilidad el porcentaje de tiempo que durante el mes el canal estuvo habilitado para la prestación del servicio.
2.3.3.1.23. Las entidades vigiladas deben informar a la SFC a la dirección de correo riesgooperativo@superfinanciera.gov.co, los eventos que afecten de manera significativa la confidencialidad, integridad o disponibilidad de la información manejada en los sistemas que soportan los canales de atención al cliente, haciendo una breve descripción del incidente y su impacto. Los incidentes se deben reportar tan pronto se presenten. Así mismo, deben remitir la información de la que trata el subnumeral 3.5.1. del Capítulo I del Título III de la Parte I de la CBJ.
2.3.3.1.24. Las bolsas de valores, bolsas de bienes y productos agropecuarios, agroindustriales o de otros commodities, los depósitos centralizados de valores, las cámaras de riesgo central de contraparte, los sistemas de compensación y liquidación de valores, los sistemas de compensación y liquidación de divisas, los proveedores de precios para valoración, los administradores de sistemas de negociación de valores y/o registro de operaciones sobre valores, los administradores de sistemas de negociación de divisas y/o registro de operaciones sobre divisas, y las sociedades de financiación colaborativa deben reportar a la SFC a la dirección de correo riesgooperativo@superfinanciera.gov.co los siguientes eventos:
2.3.3.1.24.1. Fallas en los sistemas administrados que afecten y/o tengan el potencial de afectar la prestación de los servicios y/o que generen errores o falta de oportunidad en la información suministrada al mercado y/o al público en general. Dicha información se debe reportar a más tardar al día hábil siguiente y debe contener una breve descripción del evento o incidente y de la afectación.
2.3.3.1.24.2. La descripción de las pruebas de contingencia y/o continuidad realizadas a los sistemas que implementen o no la participación de los afiliados o usuarios y que tengan el potencial de generar afectación en la prestación de los servicios. Esta información se debe reportar el día hábil anterior al inicio de las pruebas.
2.3.3.1.24.3. Actualizaciones y/o modificaciones técnicas o tecnológicas que tengan el potencial de generar interrupciones en la prestación de los servicios o en la correcta y oportuna generación de información. Esta información se debe reportar por lo menos con ocho (8) días calendario de antelación y en ella se deben especificar los servicios que se podrían ver afectados y los medios alternos que se utilizarán para dar continuidad a la operación en condiciones de normalidad.
Cuando no sea posible reportar la información respecto de las actualizaciones y/o modificaciones técnicas o tecnológicas con la antelación de ocho (8) días a la que se refiere el inciso anterior, esta información se debe reportar a más tardar al día hábil siguiente de la realización de la actualización y/o modificación, otorgando las explicaciones suficientes sobre la razón por la cual el reporte se está realizando en un término inferior.
2.3.3.1.24.4. Proyectos relativos a nuevos servicios o productos y/o renovaciones estructurales de la plataforma tecnológica que tengan el potencial de generar impactos en los servicios e información suministrada al mercado. Esta información se debe reportar en la fecha de inicio de la implementación del proyecto y debe contener el cronograma de actividades, en donde se incluyan, entre otros, las fechas previstas para la realización de las pruebas o ejercicios, capacitaciones al mercado, ajustes reglamentarios y entrada en producción.
2.3.3.2. En materia de documentación
Las entidades deben cumplir, como mínimo, con los siguientes requerimientos:
2.3.3.2.1. Dejar constancia de todas las operaciones que se realicen a través de los distintos canales, la cual debe contener cuando menos lo siguiente: fecha, hora, código del dispositivo (para operaciones realizadas a través de IVR: el número del teléfono desde el cual se hizo la llamada; para operaciones por Internet: la dirección IP desde la cual se hizo la misma; para operaciones con dispositivos móviles, el número desde el cual se hizo la conexión), cuenta(s), número de la operación y costo de la misma para el cliente o usuario.
En los casos de operaciones que obedecen a convenios, se debe dejar constancia del costo al que se refiere el presente numeral, cuando ello sea posible.
2.3.3.2.2. Velar porque los órganos de control, incluyan en sus informes la evaluación acerca del cumplimiento de los procedimientos, controles y seguridades, establecidos por la entidad y las normas vigentes, para la prestación de los servicios a los clientes y usuarios, a través de los diferentes canales de distribución.
2.3.3.2.3. Generar informes trimestrales sobre la disponibilidad y número de operaciones realizadas en cada uno de los canales de distribución. Esta información debe ser conservada por un término de 2 años.
2.3.3.2.4. Cuando a través de los distintos canales se pidan y se realicen donaciones, se debe generar y entregar un soporte incluyendo el valor de la donación y el nombre del beneficiario.
2.3.3.2.5. Conservar todos los soportes y documentos donde se hayan establecido los compromisos, tanto de las entidades como de sus clientes y las condiciones bajo las cuales éstas prestan sus servicios. Se debe dejar evidencia documentada de que los clientes las han conocido y aceptado. Esta información debe ser conservada por lo menos por 2 años, contados a partir de la fecha de terminación de la relación contractual o en caso de que la información sea objeto o soporte de una reclamación o queja, o cualquier proceso de tipo judicial, hasta el momento en que sea resuelto.
2.3.3.2.6. Llevar un registro de las consultas realizadas por los funcionarios de la entidad sobre la información confidencial de los clientes, que contenga al menos lo siguiente: identificación del funcionario que realizó la consulta, canal utilizado identificación del equipo, fecha y hora. En desarrollo de lo anterior, se deben establecer mecanismos que restrinjan el acceso a dicha información, para que solo pueda ser usada por el personal que lo requiera en función de su trabajo.
2.3.3.2.7. Llevar el registro de las actividades adelantadas sobre los dispositivos finales a cargo de la entidad, usados en los canales de distribución de servicios, cuando se realice su alistamiento, transporte, mantenimiento, instalación y activación.
2.3.3.2.8. Dejar constancia del cumplimiento de la obligación de informar adecuadamente a los clientes respecto de las medidas de seguridad que deben tener en cuenta para la realización de operaciones por cada canal, así como los procedimientos para el bloqueo, inactivación, reactivación y cancelación de los productos y servicios ofrecidos.
2.3.3.2.9. Grabar las llamadas realizadas por los clientes a los centros de atención telefónica cuando consulten o actualicen su información.
La información a que se refieren los subnumerales 2.3.3.2.1., 2.3.3.2.6 y 2.3.3.2.9. debe ser conservada por lo menos por 2 años. En el caso en que la información respectiva sea objeto o soporte de una reclamación, queja, o cualquier proceso de tipo judicial, hasta el momento en que sea resuelto.
2.3.4. Requerimientos especiales por tipo de canal
PARTE III.
MERCADO DESINTERMEDIADO.
TÍTULO IV.
PROVEEDORES DE INFRAESTRUCTURA Y OTROS AGENTES.
CAPÍTULO VI.
CUSTODIOS DE VALORES.
CONTENIDO
1. ÁMBITO DE APLICACIÓN
2. PROCESO DE AUTORIZACIÓN
3. ESTÁNDARES ESPECIALES APLICABLES A LOS SISTEMAS DEL CUSTODIO DE VALORES
4. OBLIGACIONES DEL CUSTODIO DE VALORES
5. CONTRATOS
6. SUB-CUSTODIA DE VALORES UBICADOS EN EL EXTERIOR
7. REGLAS RELATIVAS A LA ADMINISTRACIÓN DE RIESGOS
7.1. Riesgo operativo
7.2. Riesgo de crédito
7.3. Riesgo de lavado de activos y de la financiación del terrorismo
8. DOCUMENTACIÓN
9. INFORMACIÓN A LOS CUSTODIADOS
10. ESTÁNDARES ESPECIALES PARA LOS PROVEEDORES DE INFRAESTRUCTURA DEL MERCADO DE VALORES
11. ÓRGANOS DE CONTROL
11.1. Revisoría fiscal
11.2. Órgano de control interno
12. Otras disposiciones
otros factores de riesgo operativo que se identifiquen en relación con dicho servicio, sin perjuicio de la responsabilidad del custodio respecto de la contratación del sub-custodio.
7.2. Riesgo de crédito
Los custodios de valores que realicen transferencias temporales de valores de las que trata el numeral 3 del art. 2.37.1.1.3 del Decreto 2555 de 2010, deben ajustar sus sistemas de administración de riesgos, con el fin de establecer las políticas, mecanismos y/o procedimientos que les permitan evaluar y controlar la exposición a riesgo de crédito que tengan cuando obren como agente para la realización de operaciones de transferencia temporal de valores. En este sentido, el custodio debe incluir dentro de sus políticas de administración de riesgos, la forma cómo va a controlar la exposición al riesgo crediticio y el manejo de los derechos patrimoniales inherentes a los valores que se encuentren bajo su custodia, cuando ejecute órdenes individuales o genéricas de operaciones de transferencia temporal de valores, así como los procedimientos a seguir para la liquidación de los valores dados en garantía, en caso de presentarse un incumplimiento de las operaciones de transferencia temporal de valores.
7.3. Riesgo de lavado de activos y de la financiación del terrorismo
Las sociedades fiduciarias que van a desarrollar las actividades de custodia de valores deben efectuar las modificaciones a las políticas, procedimientos y mecanismos, los cuales deben estar debidamente autorizados por la junta directiva, e incorporar los parámetros mínimos que en desarrollo de la actividad de custodia de valores deben atender para administrar el riesgo de lavado de activos y de financiación del terrorismo.
De igual forma, de acuerdo con lo previsto en el Capítulo IV del Título IV de la Parte I de esta Circular, las sociedades fiduciarias que desarrollen la actividad de custodia de valores están obligadas a dar cumplimiento a las disposiciones aplicables a la administración del riesgo de lavado de activos y de financiación del terrorismo respecto de la relación que establezcan con sus clientes o custodiados no vigilados por la SFC.
Los administradores de FIC, de portafolios de valores de terceros, y de fideicomisos de inversión, según sea el caso, contratantes de la custodia de valores, siguen siendo responsables de cumplir con las disposiciones aplicables en materia de administración del riesgo de lavado de activos y de financiación del terrorismo respecto de sus clientes, responsabilidad que en consecuencia no le corresponde al custodio de los valores del respectivo vehículo de inversión administrado por otra entidad vigilada por parte de la SFC.
8. DOCUMENTACIÓN
En materia de documentación los custodios de valores deben cumplir, como mínimo, con los siguientes requerimientos:
8.1. Llevar un registro ordenado de las instrucciones impartidas por el custodiado, que permita verificar la trazabilidad de la operación (fecha, hora, características de la operación, entre otros), el cual debe ser conservado por un término mínimo de 5 años, y mantenerlo a disposición del custodiado, de la SFC y de los organismos de autorregulación del mercado de valores a los cuales se encuentre afiliado el custodiado. En caso que la información sea objeto o soporte de una reclamación, queja o cualquier proceso de tipo de judicial, ésta debe ser conservada hasta el momento que sea resuelto.
8.2. Garantizar la trazabilidad y segregación en el acceso al flujo de información confidencial recibida en razón o con ocasión de los servicios prestados en desarrollo de la actividad de custodia de valores. En desarrollo de lo anterior, se deben establecer mecanismos que restrinjan el acceso a dicha información confidencial, para que sólo pueda ser usada por el personal autorizado que lo requiera exclusivamente para el desarrollo de la actividad de custodia de valores.
8.3. Conservar todas las comunicaciones que se realicen en desarrollo de la actividad de custodia de valores por un término mínimo de 5 años, y debe mantenerlas a disposición del custodiado, de la SFC y de los organismos de autorregulación del mercado de valores a los cuales se encuentre afiliado el custodiado.
9. INFORMACIÓN A LOS CUSTODIADOS
El custodio de valores debe como mínimo, en relación con el suministro de información dirigida a los custodiados, atender lo dispuesto en los numerales 8, 9, 11 y 24 del art. 2.37.2.1.4 del Decreto 2555 de 2010.
Los sistemas o mecanismos de información o consulta que disponga el custodio, ya sean propios o soportados en los mecanismos disponibles a través de los depósitos centralizados de valores o los sub-custodios, según el caso, deben permitir que el custodiado pueda acceder a la información sobre los movimientos y/o saldos de los valores objeto de custodia y del dinero asociado a las operaciones sobre dichos valores, de acuerdo con la periodicidad o frecuencia establecida en el respectivo contrato celebrado entre el custodio y el custodiado.
Estos mecanismos de suministro de información y consulta deben cumplir estándares de seguridad y calidad que permitan asegurar la veracidad de la información entregada al custodiado y le faciliten a éste la realización de arqueos periódicos de manera automática.
10. ESTÁNDARES ESPECIALES PARA LOS PROVEEDORES DE INFRAESTRUCTURA DEL MERCADO DE VALORES
Las entidades que interactúan con el custodio, en particular, las bolsas de valores, los sistemas de negociación de valores y de registro de operaciones sobre valores, los administradores de sistemas de compensación y liquidación de operaciones sobre valores, las cámaras de riesgo central de contraparte y los depósitos centralizados de valores, los sistemas de pagos, los proveedores de precios para valoración y cualquier otro proveedor de infraestructura indispensable para el cumplimiento de la labor de custodia, deben ajustar sus procedimientos, mecanismos, sistemas, y todo aquello que se considere necesario, con el fin de facilitar y permitir al custodio interconectarse o acceder a la información que se requiera para el desarrollo de sus funciones, atendiendo en todo caso el cumplimiento de las normas y reglamentación aplicable a las funciones de cada proveedor de infraestructura.
Los proveedores de infraestructura del mercado de valores deben realizar pruebas o ejercicios sobre la capacidad de sus sistemas para el cumplimiento de operaciones sobre los valores objeto de custodia, que permitan prever la interacción adecuada, segura y oportuna con las entidades que pretendan ser autorizadas para desarrollar esta actividad. Para tal efecto, deben establecer aspectos tales como: los procedimientos, metodologías, horarios, datos de prueba, mecanismos para el intercambio de información y sistemas, o entornos de prueba que permitan simular razonablemente la operatividad de sus sistemas con la participación de los custodios.
Las pruebas deben ser integrales y permitir el adecuado flujo de información entre los proveedores de infraestructura que participan en la cadena de valor y los custodios, para dar seguridad sobre el funcionamiento de los servicios obligatorios, complementarios y especiales, así como el proceso de compensación y liquidación de operaciones en el mercado.
Para tal efecto, los proveedores de infraestructura definirán el ambiente de prueba que permita, de manera continua, la simulación de una operación desde que se ingresa e inicia la ejecución de una orden o registro de operaciones en el respectivo sistema, hasta la culminación de la operación.
Se debe dejar constancia o registro de la ejecución, desempeño y cumplimiento de las pruebas que se hayan surtido, antes del inicio de la prestación de los servicios para custodios.
