Servicios Auxiliares en el SFPS: Alcance y Desafíos de la Norma


La Resolución SEPS-IGT-IGS-IGJ-INR-INSESF-INSEPS-INGINT-2025-0227 expide la “Norma de control para la calificación y supervisión de las organizaciones y compañías de servicios auxiliares del sector financiero popular y solidario”. Su objetivo es claro: ordenar el mercado de proveedores que prestan servicios sensibles (tecnológicos, operativos, de red, etc.) a cooperativas, mutualistas, cajas centrales, cajas de ahorro y comunales; y, al mismo tiempo, endurecer el estándar de debida diligencia que deben aplicar las entidades contratantes.

Desde la mirada práctica (y crítica), esta norma mueve la responsabilidad hacia dos frentes:

  1. El proveedor debe probar solvencia, cumplimiento y capacidad técnica antes de operar; y luego sostener obligaciones permanentes de reporte y control.

  2. La entidad contratante ya no puede “tercerizar” sin gobernanza: está obligada a evaluar, contratar con cláusulas mínimas, y verificar cumplimiento normativo (incluida protección al usuario y datos personales).

1) Objeto, alcance y sujetos obligados: quiénes entran en la norma

La norma establece requisitos de calificación, condiciones para la prestación y parámetros de supervisión y control por parte de la SEPS.

Aplica a:

  • Proveedores: organizaciones de la economía popular y solidaria y personas jurídicas no financieras (S.A. o Cía. Ltda.) que presten servicios auxiliares.

  • Entidades contratantes (SFPS): COAC, mutualistas, cajas centrales, cajas de ahorro y comunales.

Comentario crítico (en clave de gobierno corporativo): la SEPS está tratando los servicios auxiliares como un riesgo sistémico operativo/tecnológico. En la práctica, esto se alinea con el enfoque moderno de “third-party risk management”: el proveedor es parte del perímetro de control cuando toca información, transacciones, canales o experiencia del usuario.

2) Calificación previa obligatoria: la “licencia” para prestar servicios auxiliares

La regla matriz: nadie presta servicios auxiliares a entidades del SFPS sin calificación previa otorgada por la SEPS.

2.1. Checklist práctico de requisitos (Artículo 3)

El artículo 3 construye una barrera de entrada documental y financiera. En lo mínimo, el expediente exige:

A. Gobierno y habilitación legal

  • Formulario de calificación, detallando el/los servicios auxiliares específicos (alineados a la norma del órgano regulador sobre definición/calificación de servicios auxiliares).

  • Acta (asamblea/junta/directorio) que resuelve solicitar la calificación.

  • Constitución y reformas; objeto social concordante con el servicio a calificar.

  • Listado de integrantes / nómina de socios-accionistas.

  • RUC con actividad económica coherente con el servicio.

  • Registro de directiva (si EPS) / nombramiento vigente del representante legal inscrito (si compañía).

B. Estados financieros, proyecciones e impuestos

  • Estados financieros del cierre del año anterior y con corte al mes previo a la solicitud, firmados por representante legal y contador.

  • Si la empresa es nueva: proyecciones (3 años si <12 meses; 1 año si <24 meses).

  • Impuesto a la Renta (2 o 3 ejercicios según antigüedad).

  • Auditoría externa (cuando aplique): sin salvedades.

C. Anexos SEPS: estructura técnica “estandarizada”

  • Detalle de cuentas contables conforme Anexo 1.

  • Indicadores financieros mínimos por tipo de servicio y grupos del Anexo 2 (y calificación parcial si solicita varios servicios: solo califica lo que cumpla).

  • Plan de Negocios (Anexo 3) para organizaciones/compañías jóvenes o para nuevo servicio.

  • Ficha financiera (Anexo 4) (también usada luego para supervisión).

D. Cumplimientos y “no inhabilidades”

  • Certificados de cumplimiento de obligaciones (SEPS o SCVS, según corresponda), SRI e IESS.

  • Para transporte de especies monetarias/valores: permiso de operación (Min. del Interior) y pólizas de seguro.

  • Declaración juramentada de no estar incurso en inhabilidades (moras relevantes, inhabilitaciones, cartera castigada, etc.).

Lectura crítica: el “núcleo duro” no es solo papeles: es capacidad financiera medible (indicadores) + trazabilidad de cumplimiento (SRI/IESS/SEPS/SCVS) + idoneidad reputacional (inhabilidades). Esto impacta especialmente a proveedores pequeños o “startups” que trabajan con cooperativas: la norma les exige madurez administrativa antes de escalar.

3) Obligación para las entidades: contratar solo calificados (y anexar la resolución)

Las entidades del SFPS deben contratar únicamente proveedores con calificación vigente, e incorporar la resolución de calificación como documento habilitante del contrato. El incumplimiento es “motivo de sanción a las partes contratantes”.

Esto cambia el estándar interno: ya no basta con “me parece buen proveedor”, ahora debe existir un control documental ex ante y trazabilidad contractual.

4) Administración integral de proveedores: selección, contratos y control (Artículo 9)

El artículo 9 obliga a las entidades a implementar un proceso integral que cubra precontratación, suscripción, cumplimiento y renovación.

4.1. Debida diligencia mínima: criterios de selección y evaluación

Incluye (entre otros) experiencia, desempeño, costo-beneficio, evaluación financiera de viabilidad, revisión de auditoría externa, reputación y accionistas, identificación de proveedores críticos y exigencia de planes de contingencia.

4.2. Contenido mínimo del contrato (cláusulas obligatorias)

Debe contemplar niveles mínimos de servicio, garantías técnicas y financieras, multas, personal suficiente, transferencia de conocimiento, confidencialidad, propiedad intelectual, responsables de contraparte/administrador del contrato, definición detallada del entregable, cumplimiento normativo SEPS/JPRMF aplicable, y facilidades para auditoría interna/externa.

Comentario crítico: esta parte “eleva” el contrato de un instrumento comercial a un instrumento de gestión de riesgos. Si tu cooperativa no tiene plantillas y un ciclo de administración de contratos, se expone doble: sanción + riesgo operativo real (caídas de servicio, incidentes de datos, reclamos de usuarios).

5) Estándares específicos según el tipo de servicio: énfasis tecnológico y transaccional

La norma dedica un bloque a servicios tecnológicos: software, computación, redes transaccionales, cajeros, etc.

Ejemplos de exigencias:

  • Redes de cajeros automáticos: cumplimiento de medidas de seguridad de canales electrónicos y verificación de parámetros mínimos de seguridad en afiliadas/usuarias de la red.

  • Interconexión: cuando SEPS lo disponga, evidencias de sistemas interconectados en línea y transacciones que afecten saldos en línea y en tiempo real.

  • Integración: registro formal de pruebas y pasos a producción; y manual operativo del servicio.

Implicación práctica: si tu entidad contrata “core bancario”, pasarela, switch, integraciones o servicios con impacto en saldos, necesitas evidencia técnica, no solo promesas del proveedor.

6) Supervisión y control SEPS: reportes, inspecciones in situ y sanciones

La SEPS controlará que las entidades se cercioren de respaldo técnico-operativo y que el proveedor cumpla normativa del órgano regulador y SEPS, especialmente en servicios con cargos a socios/clientes/usuarios.

Además:

  • El proveedor debe remitir (al menos) información del Anexo 4 en plazos que se establezcan, incluso si no mantiene contratos vigentes.

  • La SEPS puede realizar supervisión in situ y establecer sanciones conforme al marco legal (cita expresamente el COMF).

  • Régimen sancionatorio: remite a la norma de control para aplicación de sanciones en el SFPS, con criterios de proporcionalidad, reincidencia y gravedad.

7) Descalificación (Artículo 18): causales y mensaje regulatorio

La SEPS puede descalificar de oficio (p. ej. si verifica que el proveedor no está “activo” en registros oficiales) o por informe técnico (incumplir recomendaciones, no entregar información, falsedad, incumplir normas aplicables, prestar servicio distinto al calificado, graves deficiencias), o por solicitud de parte (petición del propio proveedor).

Clave práctica: la causal “prestar un servicio distinto al calificado” obliga a los proveedores a delimitar alcance, y a las entidades a contratar exactamente el servicio calificado. Aquí suelen nacer contingencias por “scope creep” (te doy algo adicional sin modificar formalmente calificación/contrato).

8) Protección al usuario y datos personales: el tercer eje (no negociable)

La norma incorpora explícitamente protección de derechos del usuario y protección de datos personales:

  • Los proveedores deben cumplir la norma de protección de derechos de socios/clientes/usuarios cuando interactúen directa o indirectamente, y la entidad contratante debe verificarlo.

  • Responsabilidad conjunta por comportamiento de empleados/agentes y por políticas de mitigación de riesgos que vulneren derechos.

  • Custodia de bases de datos y datos no públicos (incluye información fotográfica y biométrica), con autorización del titular conforme a la Ley Orgánica de Protección de Datos Personales.

  • Medidas de seguridad alineadas a la norma de riesgo operativo del SFPS; confirmación de identidad, salvaguarda de datos transaccionales y alertas automáticas ante comportamientos erráticos, más recomendaciones de autoprotección al usuario.

Comentario crítico: esta parte es de las más fuertes. La SEPS está empujando a que los servicios auxiliares adopten prácticas cercanas a “fraud monitoring / user protection”, lo cual suele ser costoso. Para entidades pequeñas, esto exige negociar muy bien el contrato y el SLA: si el proveedor no puede implementar alertas, logs y controles, el riesgo cae de vuelta en la entidad (y el reclamo del socio no se terceriza).

9) Disposiciones generales y transitorias: lo que debes ejecutar “ya”

9.1. La calificación no es un “sello de calidad” ni permite publicidad

La calificación no garantiza calidad ni exonera de responsabilidades a la entidad contratante; y el proveedor no puede usarla para publicidad o promoción.

9.2. Contratos vigentes: cláusulas de datos personales en 6 meses

Las organizaciones/compañías con contratos vigentes al entrar en vigencia la norma deben adecuarlos e incorporar cláusulas de protección de datos personales en un máximo de 6 meses (posible prórroga por SEPS).

9.3. Recalificación obligatoria: hasta el 30 de abril de 2026

Quienes tenían calificación vigente antes del 01 de diciembre de 2025 deben hacer nuevo proceso de calificación hasta el 30 de abril de 2026, con posibilidad de prórroga de hasta 1 mes por una sola ocasión.

9.4. Derogatoria expresa: se eliminan las resoluciones 0147 y 0157 (2025)

La norma deroga expresamente las resoluciones SEPS-…-2025-0147 y SEPS-…-2025-0157.

10) Recomendaciones Luna & Asociados: guía de implementación para cooperativas

Si tu entidad está contratando (o ya contrató) servicios auxiliares, este es un plan práctico de cumplimiento:

A. Acciones inmediatas (0–30 días)

  1. Inventario de terceros: listado de todos los servicios auxiliares vigentes (tecnología, redes, cobranza tercerizada si aplica, transporte de valores, etc.).

  2. Verificación documental: pedir resolución de calificación vigente y archivarla como habilitante.

  3. Mapa de criticidad: identificar proveedores críticos y requerir planes de contingencia.

B. Ajustes contractuales (30–90 días)

  1. Anexar cláusulas mínimas del Art. 9: SLA, garantías, multas, confidencialidad, PI, administrador del contrato, auditoría, etc.

  2. Implementar/actualizar cláusulas de datos personales y anexos de seguridad (más crítico si hay biometría, fotos, scoring o data transaccional).

C. Gobierno y control permanente

  1. Crear un procedimiento interno de administración de proveedores (precontratación → contratación → monitoreo → renovación) y evidencia documental.

  2. Asegurar evidencias técnicas: interconexión en línea/tiempo real cuando aplique; registros de pruebas y pasos a producción; manuales operativos.

  3. Política de protección al usuario y gestión de incidentes con el proveedor (comportamiento de agentes, atención, mitigación de riesgos).

Conclusión: el punto ciego que esta norma viene a cerrar

En el SFPS, “servicio auxiliar” no es un proveedor más: es, muchas veces, la capa que toca el dinero, el dato y la confianza del socio. Esta resolución formaliza algo que el sector ya vivía: el mayor número de eventos (caídas, brechas, fraudes, mala atención) suele ocurrir en la cadena extendida de terceros.

La lectura final es contundente: si tu entidad terceriza, debe gobernar; y si tu compañía presta servicios auxiliares, debe operar con estándares casi equivalentes a los de una entidad financiera en materia de riesgo operativo, seguridad, protección al usuario y datos.

en

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)

Pages

Created By SoraTemplates | Distributed By Free Blogger Templates