Ministerio de Tecnologías de la Información y las Comunicaciones

RESOLUCIÓN 2704 DE 2010 

(Diciembre 29)

“Por la cual se fijan los requisitos y parámetros mínimos del sistema de administración y mitigación del riesgo operativo por parte de quienes quieren obtener su habilitación como operadores de servicios postales de pago”.

(Nota: Derogada por la Resolución 3680 de 2013 artículo 15 del Ministerio de Tecnologías de la Información y las Comunicaciones)

El Ministro de Tecnologías de la Información y las Comunicaciones,

en ejercicio de sus facultades legales y en especial de las que le confiere el parágrafo segundo del artículo 4º Ley 1369 de 2009, y

CONSIDERANDO:

Que el artículo 1º de la Ley 1369 de 2009 señala el régimen general de los servicios postales y, a su vez, establece que son considerados un servicio público en los términos del artículo 365 de la Constitución Política;

Que el citado artículo prevé además que la prestación de los servicios postales estará sometida a la regulación, vigilancia y control del Estado, con sujeción a los principios de calidad, eficiencia y universalidad;

Que el artículo 2º de la citada ley establece dentro de los objetivos de intervención del Estado, el de asegurar la prestación eficiente, óptima y oportuna de los servicios postales;

Que a su vez el parágrafo 2º del artículo 4º dispone que para el caso particular de los operadores de servicios postales de pago, el Ministerio de Tecnologías de la Información y las Comunicaciones reglamentará los requisitos de tipo patrimonial y de mitigación de riesgos que se deberán acreditar para la obtención del respectivo título habilitante, adicionales a los contemplados en los literales a), c) y d) del citado artículo;

Que el Ministerio de Tecnologías de la Información y las Comunicaciones publicó para comentarios de los interesados el pasado 6 de diciembre, cinco proyectos de resolución relativos al mandato contenido en el parágrafo segundo del artículo cuarto de la precitada ley, entre ellos, el borrador de la presente resolución, por el término inicial de ocho días hábiles para comentarios, límite que fue prorrogado por dos días más y venció el 20 de diciembre;

Que se recibieron diversas comunicaciones con comentarios sobre los proyectos publicados;

Que en cumplimiento de lo dispuesto por el artículo 7º de la Ley 1340 de 2009, reglamentado por el Decreto 2897 de 2010, el Ministerio de Tecnologías de la Información y las Comunicaciones remitió a la Superintendencia de Industria y Comercio mediante comunicación con registro 428837 del 16 de diciembre de 2010, los proyectos de resoluciones los cuales fueron publicados en su página web, con el objeto de tener el concepto previo de esa entidad sobre los mismos;

Que mediante oficio radicado bajo el número 10-158347 del 24 de diciembre de 2010, el superintendente delegado para la protección de la competencia, se pronunció sobre los proyectos de resolución, en los siguientes términos: “... aunque la habilitación por parte del Ministerio de las Tecnologías de la Información y las Comunicaciones puede considerarse un obstáculo a la competencia, esta es una obligación legal la cual se basa en la característica de servicio público que tienen los servicios postales”;

Que en la fijación de los requisitos patrimoniales y de mitigación de riesgos, se tuvo en cuenta que si bien en la prestación de los servicios postales de pago se maneja dinero del público, dicha actividad no implica una intermediación financiera; por ello, la prestación de servicios postales de pago conllevan un espectro de operaciones autorizadas menor que las autorizadas a las entidades financieras sometidas a la vigilancia de la Superintendencia Financiera, por lo que dichas exigencias patrimoniales y de mitigación de riesgos deben ajustarse a la naturaleza y tipo de operaciones permitidas a los nuevos agentes;

Que se hace necesario fijar los requisitos y parámetros mínimos con que deben contar cada uno de los sistemas de administración de riesgos a que hace referencia la resolución que reglamenta los requisitos de tipo patrimonial y de mitigación de riesgos con que deben contar quienes pretendan solicitar su habilitación como operadores postales de pago;

Que en los términos del numeral 14 del artículo 2º de la Resolución 517 de 2010, corresponde por delegación al director de comunicaciones del Ministerio de Tecnologías de la Información y las Comunicaciones la facultad de determinar y verificar los requisitos de tipo patrimonial y operacional exigibles a los interesados en la obtención del título habilitante para la prestación de los servicios postales;

Que para los efectos de la expedición de esta resolución, tal función es reasumida por el Ministro de Tecnologías de la Información y las Comunicaciones;

Que en virtud de lo expuesto,

RESUELVE:

ART. 1º—Objeto. La presente resolución tiene por objeto establecer los requisitos y parámetros mínimos para la adecuada mitigación y administración del riesgo operativo que deben acreditar las personas jurídicas interesadas en obtener su habilitación como operadores de servicios postales de pago y mantenerlo como parte integral de su operación una vez obtengan su habilitación.

(Nota: Derogado por la Resolución 3680 de 2013 artículo 15 del Ministerio de Tecnologías de la Información y las Comunicaciones)

ART. 2º—Sujetos obligados. Las personas jurídicas interesadas en obtener su habilitación como operadores de servicios postales de pago deberán implementar y desarrollar un sistema para la administración del riesgo operativo, atendiendo los requisitos establecidos en la presente resolución.

(Nota: Derogado por la Resolución 3680 de 2013 artículo 15 del Ministerio de Tecnologías de la Información y las Comunicaciones)

ART. 3º—Definiciones. Para efectos de la interpretación y aplicación de la presente resolución se adoptan las siguientes definiciones:

Plan de continuidad del negocio: Conjunto detallado de acciones que describen los procedimientos, los sistemas y los recursos necesarios para retornar y continuar la operación, en caso de interrupción.

Plan de contingencia: Conjunto de acciones y recursos para responder a las fallas e interrupciones específicas de un sistema o proceso.

Riesgo operativo: Es la posibilidad de que un operador de servicio postal de pago incurra en pérdidas o eventual incumplimiento de sus obligaciones por deficiencias, fallas o inadecuaciones en el recurso humano, los procesos, la tecnología, la infraestructura, los sistemas internos o por la ocurrencia de acontecimientos externos.

Sistema de administración de riesgo operativo, SARO: Conjunto de elementos tales como políticas, procedimientos, documentación, estructura organizacional, órganos de control, plataforma tecnológica, divulgación de información y capacitación, mediante los cuales los operadores de servicios postales de pago identifican, miden, controlan y monitorean el riesgo operativo.

(Nota: Derogado por la Resolución 3680 de 2013 artículo 15 del Ministerio de Tecnologías de la Información y las Comunicaciones)

ART. 4º—Alcance del sistema de administración del riesgo operativo. El SARO que desarrollen los operadores de servicios postales de pago deberá ser implementado atendiendo su actividad, estructura, número y monto de los pagos que realizan, de tal forma que les permita identificar, medir, controlar y monitorear todos aquellos hechos o situaciones que puedan incidir en la debida administración del riesgo operativo a que están expuestos en desarrollo de su actividad.

En forma previa a la implementación de las etapas del SARO, los operadores de servicios postales de pago deberán establecer las políticas, objetivos, procedimientos y estructura para la adecuada y efectiva administración de riesgo operativo.

(Nota: Derogado por la Resolución 3680 de 2013 artículo 15 del Ministerio de Tecnologías de la Información y las Comunicaciones)

ART. 5º—Etapas del sistema de administración del riesgo operativo. El SARO que implementen los operadores de servicios postales de pago deberá incluir las etapas que a continuación se señalan:

5.1. Identificación: En desarrollo del SARO, los operadores de servicios postales de pago deberán identificar los riesgos operativos potenciales a que se ven expuestos en desarrollo de su actividad. Dicha identificación se deberá realizar sobre cada uno de los procesos que implementen para el desarrollo de su actividad.

5.2. Medición: Concluida la etapa de identificación, los operadores de servicios postales de pago deberán medir la probabilidad de ocurrencia de los riesgos operativos y su impacto en caso de materializarse.

5.3. Control: Los operadores de servicios postales de pago deberán tomar medidas para controlar los riesgos operativos a que se ven expuestos en desarrollo de su actividad con el fin de disminuir las consecuencias de la materialización de los mismos. Durante esta etapa los operadores de servicios postales de pago deben, como mínimo:

a) Determinar las medidas que permitan tener un plan de continuidad del negocio y de contingencia;

b) Determinar las medidas que permitan la administración de los riesgos operativos presentes en los procesos de tercerización o outsourcing, teniendo en cuenta que en este evento no hay delegación de la responsabilidad.

5.3.1. Administración de la continuidad del negocio. Con el fin de dar cumplimiento a la obligación de tener un plan de continuidad del negocio, los operadores de servicios postales de pago deben, de acuerdo con la estructura, actividad, número y monto de los pagos, definir, implementar, probar y mantener en forma permanente un proceso para administrar la continuidad del negocio que incluya elementos como: prevención y atención de emergencias, administración de la crisis, planes de contingencia y capacidad de retorno a la operación normal.

Los planes de continuidad del negocio deben cumplir, como mínimo, con los siguientes requisitos:

a) Haber superado las pruebas necesarias para confirmar su eficacia y eficiencia;

b) Ser conocidos por todos los interesados;

c) Cubrir, por lo menos, los siguientes aspectos: Identificación de los riesgos que pueden afectar la operación, actividades a realizar cuando se presentan fallas, alternativas de operación y regreso a la actividad normal.

5.3.2. Tercerización - outsourcing: Los operadores de servicios postales de pago que contraten bajo la modalidad de outsourcing o tercerización la prestación de sus servicios deberán cumplir, como mínimo, con los siguientes requerimientos:

a) Definir los criterios y procedimientos a partir de los cuales se seleccionarán los terceros y los servicios que serán atendidos por ellos;

b) Incluir en los contratos que se celebren con terceros o en aquellos que se prorroguen, por lo menos, los siguientes aspectos:

i) Niveles de servicio y operación.

ii) Acuerdos de confidencialidad sobre la información manejada y sobre las actividades desarrolladas.

iii) Restricciones sobre el software empleado.

iv) Normas de seguridad informática y física a ser aplicadas.

v) Procedimientos a seguir cuando se encuentre evidencia de alteración o manipulación de dispositivos o información.

vi) Procedimientos y controles para la entrega de la información manejada y la destrucción de la misma por parte del tercero una vez finalizado el contrato.

(Sic) vi) Exigir que los terceros contratados dispongan de planes de contingencia y continuidad de negocio debidamente documentados.

Los operadores de servicios postales de pago deberán verificar que los planes, en lo que corresponde a los servicios convenidos, funcionen en las condiciones pactadas.

5.4. Monitoreo: Los operadores de servicios postales de pago deberán hacer un monitoreo constante para velar porque las medidas que hayan establecido sean efectivas.

Para el efecto, estas deben cumplir, como mínimo, con los siguientes requisitos:

a) Contemplar un proceso de seguimiento efectivo, que facilite la rápida detección y corrección de las deficiencias en la administración de este riesgo;

b) Asegurar que los controles estén funcionando en forma oportuna, efectiva y eficiente.

(Nota: Derogado por la Resolución 3680 de 2013 artículo 15 del Ministerio de Tecnologías de la Información y las Comunicaciones)

ART. 6º—Elementos del sistema de administración del riesgo operativo. El sistema de administración de riesgo operativo, SARO, que implementen los operadores de servicios postales de pago deberá incluir los elementos que a continuación se establecen:

6.1. Políticas: la junta directiva, el consejo de administración o el órgano equivalente del operador de servicio postal de pago, deberá adoptar las políticas o lineamientos generales y particulares para la administración del riesgo operativo.

Las políticas que se adopten deben permitir un adecuado funcionamiento del SARO y deben traducirse en reglas de conducta y procedimientos que orienten la actuación del operador. En particular las políticas que se adopten deberán cumplir, como mínimo, con los siguientes requisitos:

a) Establecer el deber de los órganos de administración, de control y demás funcionarios y empleados, de asegurar el cumplimiento de las normas internas y externas relacionadas con la administración del riesgo operativo;

b) Permitir la prevención y resolución de conflictos de interés en el marco de la administración de este riesgo;

c) Permitir la administración y funcionamiento del sistema de administración de este riesgo, de manera que cada uno de los elementos y etapas del SARO cuenten con políticas claras y efectivamente aplicables que conduzcan a un adecuado funcionamiento del mismo;

d) La provisión de recursos humanos, físicos y tecnológicos necesarios para la adecuada administración de este riesgo.

6.2. Procedimientos: Los operadores de servicios postales de pago deberán establecer los procedimientos aplicables para la adecuada implementación y funcionamiento de la administración de este riesgo.

Los procedimientos que en esta materia se adopten deben contemplar, como mínimo, los siguientes requisitos:

a) Instrumentar las diferentes etapas y elementos;

b) Identificar los cambios y la evolución de los controles;

(Sic) d) La adopción de medidas en caso de que los funcionarios, administradores y terceros incumplan las disposiciones establecidas para la administración de este riesgo;

e) La evaluación y medición de la efectividad del sistema.

6.3. Documentación: los operadores de servicios postales de pago deberán hacer constar en documentos y registros todos los aspectos relacionados con la administración del riesgo operativo, incluyendo sus etapas y elementos, de forma tal que se garantice la integridad, oportunidad, confiabilidad y disponibilidad de la información allí contenida.

Dicha documentación debe incluir como mínimo:

a) Los registros y demás elementos que evidencien la operación efectiva de la administración de este riesgo;

b) Los informes que la junta directiva, consejo de administración o el órgano equivalente, el representante legal y los órganos de control, deben elaborar en los términos de la presente resolución;

c) Contar con un respaldo físico y/o en medio magnético;

d) Contar con requisitos de seguridad, de forma tal que se permita su consulta solo por los funcionarios autorizados.

6.4. Estructura organizacional: Los operadores de servicios postales de pago deberán definir claramente en su estructura organizacional los niveles de responsabilidad de las personas o funcionarios encargados de las funciones relacionadas con la administración del riesgo operativo, precisando su alcance y límites. En todo caso, deberán dar cumplimiento a las disposiciones que a continuación se establecen:

a) Junta directiva, consejo de administración u órgano equivalente: Sin perjuicio de las funciones asignadas en otras disposiciones, la junta directiva, el consejo de administración o el órgano equivalente del operador de servicios postales de pago deberá:

i) Aprobar el SARO que implementará el operador, lo cual debe constar en la respectiva acta de la junta directiva, el consejo de administración o el órgano equivalente.

ii) Aprobar los procedimientos para la administración del riesgo operativo y sus actualizaciones.

iii) Pronunciarse respecto de cada uno de los aspectos que contengan los informes periódicos que rinda el representante legal o el gestor de riesgos respecto de la administración de este riesgo, así como sobre las evaluaciones periódicas que efectúen los órganos de control.

iv) Proveer los recursos necesarios para la adecuada administración del riesgo.

v) Aprobar los planes de contingencia y de continuidad del negocio y disponer de los recursos necesarios para su oportuna ejecución.

vi) Designar al gestor de riesgo.

b) Representante legal: Sin perjuicio de las funciones asignadas en otras disposiciones, el representante legal del operador de servicios postales de pago tendrá, como mínimo las siguientes funciones:

i) Diseñar y someter a aprobación de la junta directiva, consejo de administración u órgano equivalente, los procedimientos para la administración del riesgo operativo y sus actualizaciones.

ii) Velar por el cumplimiento efectivo de las políticas establecidas por la junta directiva, el consejo de administración u órgano equivalente para la administración del riesgo operativo y presentar los informes periódicos sobre el mismo.

iii) Velar porque las etapas y elementos del SARO cumplan, como mínimo, con las disposiciones señaladas en la presente resolución.

iv) Velar porque se implementen los procedimientos para la adecuada administración del riesgo operativo a que se vea expuesto el operador de servicios postales de pago en desarrollo de su actividad.

v) Velar porque se dé cumplimiento a los lineamientos establecidos en el código de ética del operador en materia de conflictos de interés y uso de información privilegiada que tengan relación con el riesgo operativo.

c) Responsable de la gestión del riesgo: Los operadores de servicios postales de pago deberán asignar dentro de su estructura organizacional, la función de gestión del riesgo operativo, a una persona (gestor del riesgo) que tenga y acredite conocimiento en administración de riesgos y que no dependa de los órganos de control (gestor del riesgo).

Esta persona podrá tener a su cargo la gestión de otros riesgos.

En virtud de lo anterior, el responsable de la gestión del riesgo tendrá, como mínimo, las siguientes funciones:

i) Definir los instrumentos, metodologías y procedimientos tendientes a que el operador administre efectivamente sus riesgos operativos, en concordancia con los lineamientos, etapas y elementos mínimos previstos en esta resolución.

ii) Desarrollar e implementar el sistema de reportes del riesgo operativo.

iii) Evaluar la efectividad de las medidas de control potenciales y ejecutadas para los riesgos operativos medidos.

iv) Realizar el seguimiento permanente de los instrumentos, metodologías y procedimientos relacionados con el SARO y proponer sus correspondientes actualizaciones y modificaciones.

v) Desarrollar los programas de capacitación relacionados con el SARO.

vi) Realizar seguimiento a las medidas adoptadas para mitigar el riesgo inherente, con el propósito de evaluar su efectividad.

vii) Reportar periódicamente al representante legal y a la junta directiva, consejo de administración u órgano equivalente, la evolución del riesgo, los controles implementados y el monitoreo que se realice sobre el mismo, en los términos de la presente resolución.

El operador postal de pago, podrá contratar con terceros expertos en riesgo todas las funciones operativas descritas en este literal con el fin de apoyar la gestión del responsable de la administración del riesgo operativo.

6.5. Órganos de control interno: Los operadores de servicios postales de pago deben establecer instancias responsables de efectuar una evaluación de la forma como se está administrando el riesgo operativo; dichas instancias informarán, de forma oportuna, los resultados a los órganos.

En ejercicio de sus funciones, la revisoría fiscal, la auditoría interna o quien ejerza las funciones de control interno, serán responsables de evaluar periódicamente el cumplimiento de todas y cada una de las etapas de la administración del riesgo operativo con el fin de determinar las deficiencias y el origen de las mismas.

Así mismo, los órganos de control deberán elaborar una periodicidad no superior a seis meses dirigido a la junta directiva, consejo de administración u órgano equivalente, en el que se reporten las conclusiones obtenidas acerca del proceso de evaluación del cumplimiento de las disposiciones establecidas para la administración de este riesgo.

6.6. Infraestructura tecnológica: Sin perjuicio de los requisitos mínimo de tipo operativo que defina el Ministerio de Tecnologías de la Información y las Comunicaciones en ejercicio de sus funciones reglamentarias, los operadores de servicios postales de pago, de acuerdo con sus actividades, monto y número de pagos, deben contar con la tecnología y los sistemas necesarios para garantizar el adecuado funcionamiento del SARO.

6.7. Divulgación de información relativa a la administración de riesgos: La divulgación de la información debe hacerse en forma periódica y estar disponible, cuando así se requiera.

Los operadores de servicios postales de pago deben diseñar un sistema adecuado de reportes internos, que garantice el funcionamiento de sus propios procedimientos y el cumplimiento de los requerimientos normativos.

6.8. Capacitación: Los operadores de servicios postales de pago deben diseñar, programar y coordinar planes de capacitación sobre la administración de este riesgo dirigidos a todas las áreas y funcionarios, incluyendo aquellos contratados bajo la modalidad de tercerización u outsourcing.

(Nota: Derogado por la Resolución 3680 de 2013 artículo 15 del Ministerio de Tecnologías de la Información y las Comunicaciones)

ART. 7º—Certificación del cumplimiento de la presente resolución. Cada seis (6) meses el operador de servicios postales de pago, deberá remitir al Ministerio de Tecnologías de Información y Comunicaciones, certificación emitida por su revisor fiscal o, en su defecto, por una empresa de consultoría externa especializada en temas de administración de riesgos de amplio reconocimiento y trayectoria, en la que se exprese el grado de cumplimiento de lo dispuesto en la presente resolución.

Dicha certificación no impide que el Ministerio de Tecnologías de Información y Comunicaciones realice sus propias verificaciones directamente o a través de terceros que designe el ministerio.

(Nota: Derogado por la Resolución 3680 de 2013 artículo 15 del Ministerio de Tecnologías de la Información y las Comunicaciones)

ART. 8º—Vigencia. La presente resolución rige a partir de la fecha de su publicación.

Publíquese y cúmplase.

Dada en Bogotá, D.C., a 29 de diciembre de 2010.

(Nota: Derogada por la Resolución 3680 de 2013 artículo 15 del Ministerio de Tecnologías de la Información y las Comunicaciones)