BANCO CENTRAL DE LA REPÚBLICA ARGENTINA

23/12/2016

ANEXO

3.1. Exigencia de comunicación previa.
Previa comunicación cursada mediante nota a la Superintendencia de Entidades Financieras y Cambiarias, con una antelación no inferior a 60 días corridos a la fecha de habilitación, las entidades financieras podrán descentralizar actividades no vinculadas con clientes (administración, centro de cómputos, archivo, imprenta, etc.) sin exteriorización al público, en:
3.1.1. Dependencias propias de la entidad o de terceros, en el país, y con recursos técnicos y/o humanos propios o de terceros.
3.1.2. Dependencias o subsidiarias de:
3.1.2.1. la casa matriz o su controlante, en los casos de sucursales de entidades del exterior; o
3.1.2.2. una controlante —directa o indirecta— del exterior, en los casos de subsidiarias de entidades financieras del exterior.
3.2. Condiciones.
3.2.1. Descentralización en dependencias de terceros.
3.2.1.1. Las actividades descentralizadas estarán sujetas a las mismas condiciones normativas y regulatorias exigibles para su realización centralizada.
3.2.1.2. En el contrato de descentralización o tercerización deberán estar expresamente estipulados:
i) La aceptación y el compromiso de cumplimiento de las condiciones a que se refiere el punto 3.2.1.1., por todas las partes intervinientes.
ii) La facultad de la Superintendencia de Entidades Financieras y Cambiarias para auditar periódicamente, en las correspondientes dependencias, el cumplimiento de dichas condiciones.
3.2.2. Descentralización en dependencias o subsidiarias en el exterior.
Además de lo establecido en el punto 3.2.1., deberá observarse lo siguiente:
3.2.2.1. Deberá contarse con un plan de continuidad de procesamiento y de negocio —según corresponda— que contemple la contingencia de la interrupción en el exterior de la actividad y/o de la información que ella origina, de manera tal que permita, en cualquier momento, continuar realizándola en la República Argentina.

Ese plan deberá ser probado con resultados exitosos, los que serán supervisados por los auditores y/o inspectores del área de Supervisión o de la Gerencia de Auditoría Externa de Sistemas de la Superintendencia de Entidades Financieras y Cambiarias cuando se refiera a sistemas de información o tecnología informática, antes de iniciarse la actividad en el exterior y por lo menos una vez al año.
3.2.2.2. Deberán mantenerse en la República Argentina:
i) Los libros y registros contables originales establecidos por las disposiciones legales vigentes, que permitan tanto a la entidad local como a la Superintendencia de Entidades Financieras y Cambiarias reconstruir y verificar las operaciones y negocios en cualquier momento.
ii) El archivo de la información entregada y los documentos firmados por los clientes, que respalden las operaciones activas y pasivas.
iii) Los legajos de los deudores, conforme a las normas sobre “Gestión crediticia”.
iv) Los documentos y garantías que respalden las financiaciones vigentes otorgadas por la entidad o adquiridas, cuando la entidad compradora tenga a su cargo la administración de la cartera, y la documentación original demostrativa de la propiedad de los restantes activos.
v) Todo resguardo de documentación original, cuando normas legales, reglamentarias y/o disposiciones del Banco Central de la República Argentina determinen cursos de acción específicos.
3.2.2.3. La casa matriz o la controlante del exterior deberá:
i) Obtener del ente supervisor de su país una certificación escrita en la que conste que:
a) Respecto de esa casa matriz o la entidad financiera controlante:
- Se encuentra sujeta a principios, estándares o normas sobre prevención del lavado de activos y del financiamiento del terrorismo internacionalmente aceptados, entre otros los difundidos por el Grupo de Acción Financiera Internacional contra el Lavado de Dinero (FATF-GAFI) y el Comité de Supervisión Bancaria de Basilea.
- El ente supervisor está en conocimiento y no objeta que la sucursal/subsidiaria argentina descentralice actividades en el exterior, y que las tareas correspondientes a dicha descentralización serán parte de su programa normal de supervisión.

b) Respecto de la forma de supervisión:
- Ese organismo de control adhiere a los “Principios básicos para una supervisión bancaria eficaz”, divulgados por el Comité de Supervisión Bancaria de Basilea.
- Aplica supervisión consolidada asumiendo la vigilancia de la liquidez y solvencia así como la evaluación y el control de los riesgos y situaciones patrimoniales considerados en forma consolidada.
ii) Comprometerse a realizar auditorías internas, como mínimo con una periodicidad anual, respecto de las actividades descentralizadas, considerando en su alcance lo dispuesto en las normas sobre “Requisitos mínimos de gestión, implementación, y control de los riesgos relacionados con tecnología informática, sistemas de información y recursos asociados para las entidades financieras” debiendo remitir a la Gerencia de Auditoría Externa de Sistemas los informes de dichas auditorías.
Adicionalmente, deberán remitir los informes de los auditores externos efectuados con motivo de sus revisiones sobre las actividades descentralizadas.
Los informes de los auditores internos y externos deberán ser presentados en su versión original y su traducción al idioma castellano. Dicha traducción deberá ser efectuada por traductor público matriculado.
iii) Comprometerse a permitir que la Superintendencia de Entidades Financieras y Cambiarias pueda auditar/inspeccionar las actividades descentralizadas en las instalaciones del exterior donde éstas se desarrollan, cuando lo considere conveniente. Los gastos que se incurran en las revisiones de la actividad descentralizada que se efectúen en el exterior (pasajes, alojamiento, viáticos, traductores, traslados, otros), deberán ser cubiertos en su totalidad por la entidad solicitante a través de la correspondiente transferencia de fondos y/o remisión de los comprobantes de pago pertinentes al Banco Central de la República Argentina.
iv) Establecer un único entorno de control de administración y operación de la tecnología informática y los sistemas de información, que en todo momento permita ejercer el control directo de todas las actividades descentralizadas mediante tecnología implementada en dicha locación, cuando la descentralización de actividades se efectúe en una o más locaciones.
En el caso que la descentralización de actividades consista o involucre servicios de registración electrónica de transacciones, movimientos, transferencias de cualquier especie, registros de seguridad o similares, se deberá mantener en todos los casos la trazabilidad, la secuencialidad y correlatividad de toda la información que se procese o gestione para la entidad en la República Argentina.

v) No estar constituida en países no considerados “cooperadores a los fines de la transparencia fiscal”, en el marco de lo dispuesto por el Decreto N° 589/13, sus normas complementarias y sus modificatorios.
De tratarse de una controlante del exterior que no sea entidad financiera, sólo deberán observarse los acápites ii) a v).
3.3. Requisitos de la comunicación.
En la comunicación de descentralización de actividades se deberá consignar:
3.3.1. La naturaleza de cada actividad comprendida.
3.3.2. El domicilio donde se desarrollarán las actividades.
3.3.3. La fecha de comienzo de la realización descentralizada de las actividades.
3.3.4. En caso de quedar la realización de las actividades a cargo de un tercero, también deberá adjuntarse copia del contrato de tercerización.
3.3.5. En caso de descentralizarse las actividades en dependencias o subsidiarias del exterior, deberán agregarse las informaciones, compromisos y documentación indicados en el punto 3.2.2., firmados en todos los casos por una persona con autoridad suficiente de acuerdo con el estatuto de la casa matriz o controlante del exterior.
3.4. Responsabilidades.
Las entidades financieras que descentralicen actividades no estarán liberadas de sus responsabilidades presentes o futuras, que les correspondan conforme a las disposiciones legales y reglamentarias y a las normas dictadas por el Banco Central de la República Argentina.

7.1. Actividades factibles de delegación.
Las entidades financieras podrán delegar en terceros actividades vinculadas a la administración y/o procesamiento de datos, sistemas o tecnologías relacionadas, en las condiciones fijadas por la Sección 3. de las normas sobre “Expansión de entidades financieras”.
Las condiciones normativas y reguladoras serán exigibles y aplicables de igual forma cuando las actividades se realicen en dependencias de terceros.
No podrán delegarse actividades con proveedores que a su vez tengan contratada la función de auditoría interna y/o externa de las mismas.
7.2. Responsabilidades propias de la entidad.
El Directorio, o autoridad equivalente de la entidad financiera, debe establecer y aprobar formalmente políticas basadas en un previo análisis de riesgos, con el fin de gestionar eficientemente el proceso de delegación de actividades que le son propias, vinculadas a la administración y/o procesamiento de datos, sistemas o tecnologías relacionadas.
La delegación de las actividades antes mencionadas, nunca debe entenderse como transferencia de las responsabilidades primarias enunciadas en la presente normativa.
Las políticas deben reconocer el nivel de riesgo al que se expone la entidad financiera en las relaciones de delegación de actividades en terceros. Las mismas deben ser apropiadas al tamaño y complejidad de las actividades delegadas.
Para toda actividad vinculada a la administración y/o procesamiento de datos, sistemas o tecnologías relacionadas, deberá evidenciarse la existencia de contratos que definan claramente el alcance de los servicios, las responsabilidades y acuerdos sobre confidencialidad y no divulgación.
En los casos de entidades que cuenten con servicios de tecnología delegados a terceras partes, el control de la gestión de las facilidades para la protección de activos de información debe ser realizado con recursos propios, ya sea en locación de la entidad o en locación del tercero.
7.3. Formalización de la delegación.
Los contratos deben fijar como mínimo: el alcance de las actividades; los niveles mínimos de prestación de servicios y su tipo; la participación de subcontratistas; los derechos a realizar auditorías por parte de la entidad; compromisos de confidencialidad; los mecanismos de resolución de disputas; la duración del contrato; cláusulas de terminación del contrato; los mecanismos de notificación de cambios en el control accionario y en los cambios de niveles gerenciales; el procedimiento por el cual la entidad pueda obtener los datos, los programas fuentes, los manuales y la documentación técnica de los sistemas, ante cualquier situación que pudiera sufrir el proveedor externo por la cual dejara de prestar sus servicios o de operar en el mercado, a fin de poder asegurar la continuidad de procesamiento.

Nos dirigimos a Uds. para comunicarles para comunicarles que esta Institución adoptó la resolución que, en su parte pertinente, dispone:
“1. Sustituir el primer párrafo del punto 3.1., el punto 3.1.2., el título y el primer párrafo del punto 3.2.2., el título y los acápites iv) y v) del punto 3.2.2.4. y el punto 3.3.5. de las normas sobre “Expansión de entidades financieras” por lo siguiente:
“Previa comunicación cursada mediante nota a la Superintendencia de Entidades Financieras y Cambiarias, con una antelación no inferior a 60 días corridos a la fecha de habilitación, las entidades financieras podrán descentralizar actividades no vinculadas con clientes (administración, centro de cómputos, archivo, imprenta, etc.) sin exteriorización al público, en:”
“3.1.2. Dependencias o subsidiarias de:
3.1.2.1. la casa matriz o su controlante, en los casos de sucursales de entidades del exterior; o
3.1.2.2. una controlante —directa o indirecta— del exterior, en los casos de subsidiarias de entidades financieras del exterior.”
“3.2.2. Descentralización en dependencias o subsidiarias en el exterior.
Además de lo establecido en el punto 3.2.1., deberá observarse lo siguiente:”
“3.2.2.4. La casa matriz o la controlante del exterior deberá:”
“iv) Establecer un único entorno de control de administración y operación de la tecnología informática y los sistemas de información, que en todo momento permita ejercer el control directo de todas las actividades descentralizadas mediante tecnología implementada en dicha locación, cuando la descentralización de actividades se efectúe en una o más locaciones.
En el caso que la descentralización de actividades consista o involucre servicios de registración electrónica de transacciones, movimientos, transferencias de cualquier especie, registros de seguridad o similares, se deberá mantener en todos los casos la trazabilidad, la secuencialidad y correlatividad de toda la información que se procese o gestione para la entidad en la República Argentina.
v) No estar constituida en países no considerados “cooperadores a los fines de la transparencia fiscal”, en el marco de lo dispuesto por el Decreto N° 589/13, sus normas complementarias y sus modificatorios.”
“3.3.5. En caso de descentralizarse las actividades en dependencias o subsidiarias del exterior, deberán agregarse las informaciones, compromisos y documentación indicados en el punto 3.2.2., firmados en todos los casos por una persona con autoridad suficiente de acuerdo con el estatuto de la casa matriz o controlante del exterior.”
2. Incorporar como último párrafo del punto 3.2.2.4. de las normas sobre “Expansión de entidades financieras” lo siguiente:
“De tratarse de una controlante del exterior que no sea entidad financiera, sólo deberán observarse los acápites ii) a v).”
3. Dejar sin efecto el punto 3.2.2.1. de las normas sobre “Expansión de entidades financieras”.”
Les hacemos llegar las hojas que, en reemplazo de las oportunamente provistas, corresponde incorporar en el texto ordenado de la referencia. Además, se aprovecha la oportunidad para actualizar el punto 7.1. de las normas sobre “Requisitos mínimos de gestión, implementación, y control de los riesgos relacionados con tecnología informática, sistemas de información y recursos asociados para las entidades financieras” en función de las disposiciones divulgadas por la Comunicación “A” 5983.
Asimismo, se recuerda que en la página de esta Institución www.bcra.gob.ar, accediendo a “Sistemas Financiero y de Pagos - MARCO LEGAL Y NORMATIVO - Ordenamientos y resúmenes - Textos ordenados de normativa general”, se encontrarán las modificaciones realizadas con textos resaltados en caracteres especiales (tachado y negrita).
Saludamos a Uds. atentamente.
BANCO CENTRAL DE LA REPÚBLICA ARGENTINA
Darío C. Stefanelli, Gerente Principal de Emisión y Aplicaciones Normativas. — Agustín Torcassi, Subgerente General de Normas.

e. 14/02/2017 N° 6985/17 v. 14/02/2017