El 7 de abril de 2026, la Comisión para el Mercado Financiero (CMF) publicó para consulta una propuesta de actualización del Capítulo 20-7 de la Recopilación Actualizada de Normas (RAN) para bancos, relativa a la externalización de servicios, junto con la creación del nuevo archivo normativo “I28 – Servicios Externalizados”, destinado al reporte estandarizado y periódico de proveedores, servicios e incidentes.

La propuesta busca modernizar el marco prudencial vigente, alineándolo con estándares internacionales en materia de gestión del riesgo operacional y, en particular, del riesgo asociado a terceros. En este contexto, se avanza desde un enfoque centrado en la externalización de funciones específicas hacia un modelo integral de gestión del riesgo de terceros.

Principales cambios propuestos

El régimen vigente establece condiciones bajo las cuales los bancos pueden externalizar actividades operativas, manteniendo en todo momento la responsabilidad por dichas funciones, e integrando estas operaciones dentro de su gestión de riesgo operacional. Sin embargo, no contempla un sistema de reporte periódico estandarizado ni una aproximación integral a la cadena de suministro.

La propuesta introduce cambios relevantes en esta materia:

• Ampliación del perímetro regulatorio: Se incorporan definiciones actualizadas, incluyendo el concepto de terceros proveedores de servicios (Third-Party Service Providers o TPPS), y se reconoce expresamente la existencia de “cuartas partes”, lo que obliga a los bancos a gestionar no solo a sus proveedores directos, sino también aquellos que participan indirectamente en la prestación de servicios.
• Enfoque de ciclo de vida del proveedor: Se refuerza la gestión de la externalización bajo un enfoque integral que abarca el diseño, implementación, operación, mantenimiento y desactivación del servicio, incorporando exigencias específicas de onboarding y, especialmente, planes de salida vinculados a la continuidad operacional.
• Mayor exigencia en debida diligencia y monitoreo: Se amplían y estandarizan los requerimientos en materia de evaluación previa, cláusulas contractuales y monitoreo continuo, extendiendo estas obligaciones a subcontratistas y demás actores relevantes dentro de la cadena de prestación.
• Nuevo esquema de reporte regulatorio: Se crea el archivo “I28 – Servicios Externalizados”, que exigirá reportes periódicos estandarizados sobre proveedores, servicios externalizados, cadenas de prestación e incidentes, fortaleciendo significativamente las capacidades de supervisión de la CMF.

Consideraciones prácticas

En términos prácticos, la propuesta implicará para los bancos:

• Fortalecer sus marcos de gestión de proveedores y riesgos de terceros.
• Desarrollar capacidades para mapear cadenas de prestación de servicios, incluyendo subcontratistas.
• Revisar y adecuar contratos vigentes para incorporar nuevas exigencias regulatorias.
• Implementar sistemas de monitoreo continuo y reporte estructurado.
• Reforzar la gobernanza interna en materia de externalización y riesgo operacional.
• Vigencia

La propuesta contempla su entrada en vigor a partir del 1 de enero de 2027. El primer envío del archivo I28 deberá realizarse en julio de 2027, considerando información correspondiente al segundo trimestre de dicho año.