Mediante la Carta Circular 0014 de 2026, la Superintendencia Financiera de Colombia (en adelante, la “SFC”) les recordó a las entidades vigiladas las principales obligaciones regulatorias que les asisten cuando tercerizan procesos o actividades relacionadas con la prestación de servicios financieros.

La SFC reiteró que, si bien la tercerización puede contribuir a mejorar la eficiencia operativa y facilitar el acceso a proveedores especializados, esta práctica también implica riesgos que deben ser adecuadamente gestionados por las entidades vigiladas, las cuales mantienen, en todo momento, la responsabilidad por los servicios prestados a los consumidores financieros.

Al referirse a este tema, la SFC resaltó las siguientes obligaciones regulatorias aplicables a las entidades vigiladas, incluidas las aseguradoras:

1. Instrucciones de la Circular Básica Jurídica (“CBJ”)
   La SFC recordó que la Parte I, Título II, Capítulo I de la CBJ establece la obligación de las entidades vigiladas de incorporar, dentro de sus políticas y procedimientos de administración de la información, criterios y requerimientos mínimos de seguridad y calidad de la información que se maneja a través de los canales e instrumentos utilizados para la prestación de servicios financieros.
   
   Asimismo, la SFC indicó que las personas naturales o jurídicas que participen en esquemas de tercerización u outsourcing deben cumplir los requisitos previstos en el numeral 2.3.6 de la Parte I, Título II, Capítulo I de la CBJ, particularmente cuando:
    
   • participen total o parcialmente en la atención de los canales o de los dispositivos utilizados para la prestación de servicios financieros; o
   • en desarrollo de la actividad tercerizada, tengan acceso a información confidencial de la entidad vigilada o de sus clientes.
      
2. Instrucciones de la Circular Básica Contable y Financiera (“CBCF”)
   La SFC también recordó que la CBCF permite la tercerización de procesos o actividades, siempre que ello no implique la delegación de la profesionalidad.
   
   Así mismo, de conformidad con el numeral 4.3.1.3.1 del Capítulo XXXI, Parte II de la CBCF, las entidades vigiladas deben cumplir, entre otros, con los siguientes requisitos para poder tercerizar sus funciones: 
   • Realizar un análisis de riesgos sobre los procesos y actividades que se van a tercerizar.
   • Comprender el riesgo operacional asociado a los procesos y/o actividades tercerizadas.
   • Contar con políticas eficaces para incorporar en su estrategia de gestión de riesgos aquellos que estén relacionados con la tercerización.
   • Identificar, dentro de los procesos tercerizados, aquellos que puedan considerarse críticos para la entidad.
   • Cuando se trate de procesos o actividades identificados como críticos, la regulación establece obligaciones adicionales en materia de control, seguimiento y gestión de riesgos.

   Cuando se trate de procesos o actividades identificados como críticos, la regulación establece obligaciones adicionales en materia de control, seguimiento y gestión de riesgos.

3. Obligaciones en materia de seguridad de la información y ciberseguridad
   En relación con los requisitos mínimos de seguridad de la información y ciberseguridad, la SFC recordó que el numeral 3.9 de la Parte I, Título IV, Capítulo V de la CBJ exige que, en los contratos celebrados con terceros críticos, se incluyan las medidas y obligaciones necesarias para la adopción y cumplimiento de políticas de gestión de riesgos de seguridad de la información y ciberseguridad.
   
   Estas obligaciones buscan asegurar que los terceros contratados adopten estándares adecuados de protección de la información y que los riesgos asociados a la tercerización sean adecuadamente mitigados.
    
4. Obligaciones derivadas de la Ley 1328 de 2009
   Finalmente, la SFC recordó que, conforme al literal a) del artículo 3 de la Ley 1328 de 2009, las relaciones entre las entidades vigiladas y los consumidores financieros deben regirse por el principio de debida diligencia.
   
   Este principio exige que las entidades actúen con la diligencia necesaria al ofrecer productos y prestar servicios financieros, para garantizar que los consumidores financieros reciban información suficiente, atención adecuada y un trato respetuoso durante todas las etapas de la relación contractual.
   
   En consecuencia, aun cuando determinadas actividades se desarrollen a través de terceros, las entidades vigiladas deben asegurarse de que dichos proveedores actúen conforme a estos estándares y de que la prestación del servicio mantenga los niveles de calidad y protección exigidos por la regulación financiera.