Legalmente no existe un termino para expedir el paz y salvo. En el deber de diligencia la entidad debe atender la solicitud en los terminos previstos para el derecho de peticion  (15 dias) 

No existe norma legal que imponga a las entidades vigiladas la obligación de recibir los pagos de los usuarios de las empresas prestadoras de servicios públicos domiciliarios ESP, aspecto que queda sujeto a los términos contractualmente establecidos en los respectivos convenios de recaudo. Cada institución financiera, en atención a la autonomía contractual de que goza, puede legalmente pactar con una determinada ESP, el que los pagos de las facturas por los respectivos servicios públicos domiciliarios sólo puedan realizarse mediante el uso de instrumentos tecnológicos (ejemplo, vía telefónica o mediante acceso a Internet) o restringir el horario para el pago de las facturas provenientes de aquellas personas que no son clientes de la institución financiera (los usuarios) o establecer limitaciones similares. De lo expuesto se colige que en la actualidad no existe restricción o prohibición normativa que impida tales pactos.

Si. Esta obligación forma parte de la tercera fase de implementación de la Circular 052 de 2007, es decir, a partir del 1° de enero de 2010. Sin embargo, es preciso  aclarar que la Circular Externa 052 de 2007 fue modificada por las Circulares Externas 022 de 2010 y 042 de 2012, instructivos que se incorporaron en el Capítulo XII, Título Primero de la Circular Básica Jurídica (Circular Externa 007 de 1996); posteriormente con la Circular Externa 029 de 2014, mediante la cual se realizó la reexpedición de la Circular Básica Jurídica, la exigencia  para que las oficinas y los cajeros automáticos contaran con cámaras de video, quedó previsto en los numerales 2.3.4.1.3 y 2.3.4.2.1, respectivamente, del Capítulo I, Título II de la Parte I  de esta última Circular. 

No. De conformidad con lo establecido en el artículo 11.2.1.6.1 del Decreto 2555 de 2010 (Art. 72 del Decreto 4327 de 2005 -Fusión Superintendencias Bancaria y Valores), la SFC no es competente para ejercer la vigilancia de los Profesionales del Cambio. La autoridad competente para autorizar el ejercicio de la actividad a los profesionales de compra y venta de divisas es la Dirección de Impuestos y Aduanas Nacionales – DIAN, previo el  cumplimiento de ciertos requisitos y condiciones exigidos por dicha institución, conforme lo señalado por el numeral 2o del artículo 75 de la Resolución Externa 8 de 2000 de la Junta Directiva del Banco de la República (JDBR), modificado por el artículo 3o. de la Resolución Externa 4 de 2005 de la JDBR, en concordancia con la RESOLUCIÓN No. 03416 del 10 de Abril de 2006 de la DIAN.

El capital mínimo requerido para que una SICA y SFE acredite su constitución, se encuentra previsto en el Artículo 2.7.1.1.5 del Decreto 2555 de 2010 (Art. 5, Decreto 4601 de 2009); dicha cifra debe ser reajustada anualmente en el mismo sentido y porcentaje en que varíe el índice de precios al consumidor que suministre el DANE.
Para el año 2016, el capital mínimo requerido de las SICAS y SFE asciende a $ 10.221 millones de pesos.

Las SICAS y SFE - en desarrollo de su objeto social pueden realizar las operaciones de cambio señaladas en el numeral segundo del artículo 59 de la Resolución Externa 8 de 2000 de la Junta Directiva del Banco de la República -JDBR- tales como: operaciones de pagos de giros provenientes del exterior, envío de giros al exterior, compra y venta de divisas en efectivo a otros Intermediarios del Mercado Cambiario - IMC- y a los profesionales del cambio, compra y venta de divisas en transferencias (operaciones de comercio exterior por pago de importaciones y exportaciones).  De otra parte, el Decreto 4601 de 2009 (incorporado en el Libro 7 de la Parte 2 del Decreto 2555 de 2010), reglamentario del artículo 34 de la Ley 1328 de 2009  incluyó dentro del objeto social de las SICAS y SFE , la realización de operaciones de : pagos, recaudos, giros y transferencias nacionales en moneda nacional, así como actuar como corresponsales no bancarios, de conformidad con lo señalado en el artículo  34 de la Ley 1328 de 2009.                                                                                                     

El  artículo 2.7.1.1.1 del Decreto 2555 de 2010 (Decreto 4601 de 2009 en su Artículo 1o) las define así: "Son sociedades de intermediación cambiaria y de servicios financieros especiales, las personas jurídicas organizadas con arreglo a las disposiciones del presente decreto, cuyo objeto social sea realizar las operaciones de pagos, recaudos, giros y transferencias nacionales en moneda nacional, así como actuar como corresponsales no bancarios, de conformidad con lo señalado en el artículo 34 de la Ley 1328 de 2009.

Así mismo, en su condición de intermediario del mercado cambiario, las citadas sociedades podrán realizar las operaciones autorizadas bajo el régimen cambiario que para el efecto determine la Junta Directiva del Banco de la República.

Las sociedades a las que se hace alusión con anterioridad deberán anunciarse por su razón social acompañada de la denominación completa "sociedades de intermediación cambiaria y de servicios financieros especiales" o de la abreviatura SICA y SFE.

Respecto a casas de cambio (hoy SICAS y SFE), existe la siguiente información disponible para consulta al público: estados financieros (intermedios y de fin de ejercicio por entidad) desde el año 2001, información estadística (movimiento de divisas - operaciones de compra y venta del sector), la dirección del domicilio social de la entidad, el nombre del representante legal, revisor fiscal y oficial de cumplimiento e información sobre la normatividad que les aplica a dichas sociedades. Esta información puede ser consultada en el siguiente link: https://www.superfinanciera.gov.co/publicaciones/13427

De acuerdo con lo establecido en el artículo 424 del Código de Comercio, la convocatoria a asamblea de accionistas se hará en la forma prevista en los estatutos sociales, y a falta de ello, mediante aviso en un diario de amplia circulación en el domicilio principal de la sociedad.
Sin perjuicio de lo anterior, tratándose de asambleas en las que hayan de aprobarse los estados financieros de fin de ejericio, la convocatoria deberá hacerse con mínimo 15 días hábiles de anticipación. En los demás casos, basta una antelación de 5 días comunes.                                                                                                                                           Para el cómputo de los días de antelación no se tienen en cuenta el día de la convocatoria ni el día de la sesión respectiva.

Se aclara que las entidades vigiladas por la SFC que se encuentren en cualquiera de las situaciones señaladas en el artículo 11.2.4.1.2 del Decreto 2555 de 2010 (Art. 2, Dec. 089 de 2008) deberán someter a la SFC sus estados financieros para que este Organismo imparta la autorización para su aprobación por parte de las respectivas asambleas de socios o asociados; para tal efecto, las entidades deberán remitir a la SFC con por lo menos con treinta (30) días comunes de antelación a la fecha de celebración de la Asamblea, la documentación prevista en la lista de chequeo que puede ser consulta en la página web de la SFC, siguiendo la siguiente ruta: Interés del Vigilado, Trámites, Trámites que requieren autorización o aprobación de la SFC, 16 Estados Financieros de Fin de Ejercicio. Ahora bien, aquellas entidades que de conformidad con lo dispuesto en la norma precitada no estén obligadas a someter sus estados financieros a la autorización de la SFC, deberán informar a ésta en el mismo término de los 30 días antes referido, los aspectos atinentes a la Asamblea señalados en el numeral 2, inciso 1° del Capítulo IX de la Circular Básica Financiera y Contable.

1) Circular Externa 041 de 2007,  "Por medio de la cual se modifica al Capítulo XXIII denominado 'Reglas Relativas a la Administración del Riesgo Operativo - SARO' de la Circular Externa 100 de 1995."
2) Circular Externa 037 de 2007, "Por medio de la cual se expide el Anexo 1  'Líneas Operativas para el Registro de Eventos de Riesgo Operativo' del Capítulo XXIII de la Circular Externa 100 de 1995."
3) Resolución número 1865 del 17 de octubre de 2007, por medio de la cual se incluyeron las cuentas para registrar el riesgo operativo en los planes únicos de cuentas (PUC) aplicables a las entidades sometidas a su inspección y vigilancia obligadas a implementar el Sistema de Administración de Riesgo Operativo –SARO- , Resolución que se puede consultar ingresando al link: https://www.superfinanciera.gov.co/publicacion/20155.
4) Circular Externa 021 de 2014: con la cual se creó el "Catálogo ünico de información Financiera". En el proceso de convergencia para adoptar las Normas Internacionales de Información Financiera (NIIF) en Colombia, esta Superintendencia consideró necesario armonizar algunos de los requerimientos e instrucciones impartidos a sus vigilados frente al nuevo marco técnico normativo anexo al Decreto 2784 de 2012, y demás Decretos Reglamentarios de la Ley 1314 de 2009, para lo cual expidió la Circular Externa 021 del 1º de julio de 2014 , con la cual se creó el Catálogo Único de Información Financiera, en el que se encuentran, entre otros, los códigos definidos para riesgo operativo, instructivo que entró a regir a partir del 1º de enero de 2015; es decir que hasta esta fecha estuvo vigente los códigos PUC señalados en la Resolución 1865 de 2007, en los términos previstos en la precitada Circular.
5) Circular Externa 033 de 2014: con el cual se ajusta el Catálogo Unico de Cuentas del Sector Financiero, adicionando algunas cuentas de R.O.

Se entiende por Riesgo Operativo, la posibilidad de incurrir en pérdidas por deficiencias, fallas o inadecuaciones, en el recurso humano, los procesos, la tecnología, la infraestructura o por la ocurrencia de acontecimientos externos. Esta definición incluye el riesgo legal y reputacional, asociado a tales factores.

Si, ahora, cuando las horas exactas del evento no se conozcan, éstas pueden ser estimadas. 

No, pues los campos que se definen en la norma son los mínimos. Por lo tanto todos los campos del registro de eventos son de obligatorio cumplimiento en su diligenciamiento, cuando no se tenga conocimiento exacto de un dato, éste se puede estimar

A todas las entidades que tengan el carácter de vigiladas por la Superintendencia Financiera, a excepción de las Oficinas de Representación de Instituciones Financieras y Reaseguradoras del Exterior, tal como lo establece la circular externa 048 de 2006, modificada por la circular externa 041 de 2007.

Que las entidades sujetas a su cumplimiento desarrollen, establezcan, implementen y mantengan un Sistema de Administración de Riesgo Operativo (SARO), acorde con su estructura, tamaño, objeto social y actividades de apoyo, estas últimas realizadas directamente o a través de terceros, que les permita identificar, medir, controlar y monitorear eficazmente este riesgo. 

El SARO significa Sistema de Administración de Riesgo Operativo. El Sistema de Administración de Riesgos Operativos SARO, es el conjunto de elementos tales como políticas, documentación, estructura organizacional, registro de eventos de riesgo operativo, órganos de control, plataforma tecnológica, divulgación de información y capacitación, mediante los cuales las entidades vigiladas identifican, miden, controlan y monitorean el riesgo operativo.

El Decreto 2555 de 2010, Parte 3, en particular el título 3 "CONSTITUCIÓN Y ADMINISTRACIÓN DE CARTERAS COLECTIVAS". Decreto modificado por el Decreto 1242 de 2013, norma en período de transición.

Mientras se produce la fusión por absorción las entidades deben mantener su SARO. Una vez autorizado por esta Superintendencia el proceso de fusión o adquisición, la entidad resultante deberá implementar y ajustar su SARO, según los cambios derivados de la integración de productos, servicios o del enfoque cultural que se le imprima a la entidad resultante.

No a todos los proveedores, a los que desempeñen funciones o participen en el desarrollo de funciones en los procesos de la entidad. Asímismo, la capacitación debe ser impartida a todos los terceros que intervengan en los procesos de la entidad vigilada, siempre que exista una relación contractual con ellos y que desempeñen funciones de la entidad, con el objetivo de crear en ellos la cultura necesaria para que identifiquen y administren sus riesgos operativos

La Superintendencia Financiera no ha establecidos los procesos misionales de las entidades, estos deben ser determinados por los directivos de la entidad.

La Circular Externa 029 del 3 de octubre de 2014, mediante la cual se realizó la reexpedición de la Circular Básica Jurídica, incorporó en los numerales 1,1 y 1,3 del Capítulo I, Título II de la Parte I, como canales  de prestación de servicios financieros a las Oficinas, Cajeros Automáticos (ATM), Receptores de cheques, Receptores de dinero en efectivo, POS (incluye PIN Pad),Sistemas de Audio Respuesta (IVR), Centro de atención telefónica (Call Center, Contact Center), Sistemas de acceso remoto para clientes (RAS), Internet y Banca móvil. Y  “Como complemento a los canales señalados, se reconocen dentro de los instrumentos  adecuados en la prestación de estos servicios las tarjetas, debito, crédito, los móviles y las órdenes electrónicas para la transferencia de fondos, como los elementos a través de los cuales se imparten las órdenes que materializan las operaciones a través de los canales de distribución.”

Con la Circular Externa 029 de 2014, se realizó la reexpedición de la Circular Básica Jurídica, incorporando en los numerales 2.3.3  (Requerimientos generales) y 2.3.4 (Requerimientos especiales por tipo de canal) del Capítulo I, Título II de la Parte I, los requerimientos en materia de seguridad y calidad  para la realización de operaciones que son exigibles a las entidades vigiladas sujetas a su aplicación, la cual puede ser consultada en el siguiente link: https://www.superfinanciera.gov.co/publicaciones/10083443

Las entidades deben dejar constancia de todas las operaciones que se realicen a través de los distintos canales, la cual debe contenercuando menos lo siguiente: fecha, hora, código del dispositivo (para operaciones realizadas a través de IVR: El número del telefóno del cual se hizo la llamada; para operaciones por Internet: la dirección IP desde la cual se hizo la misma;  para operaciones con dispositivos móviles: el número desde el cual se hizo la conexión), cuenta (s) número de la operación y costo de la misma para el cliente o usuario.  En los casos de operaciones que obedecen a convenios, se debe dejar constancia del costo al que se refiere el presente numeral cuando ello sea posible. 

Circular 014 de 2008, modificada por la Circular Externa 050 de 2016, mediante la cual se adoptó el formato número 444 denominado “Transacciones a través de los canales de distribución”. En la actualidad se denomina "Informe de Operaciones".

Semestralmente. Reportar dentro de los 5 primeros días hábiles de agosto y febrero

los establecimientos bancarios, las compañías de financiamiento, las cooperativas financieras, las administradoras de sistemas de pago de bajo valor y el Banco de la República. 

Semestralmente. Reportar dentro de los 5 primeros días hábiles de agosto y febrero

El Gobierno Nacional mediante el Decreto 0019 de 2012, artículos 73 a 76, dispuso sobre la inspección y vigilancia para operadores de la PILA, lo siguiente: “(…) La actividad del Operador de Información de la Planilla Integrada de Liquidación de Aportes - PILA - será objeto de inspección y vigilancia de la Superintendencia Financiera de Colombia, con base en las facultades legales previstas en el Estatuto Orgánico del Sistema Financiero y demás disposiciones que lo modifiquen y bajo los criterios técnicos aplicados a las demás entidades vigiladas, en materia de riesgo operativo, seguridad y calidad de la información.

(…) La inspección y vigilancia se ejercerá por parte de la Superintendencia Financiera de Colombia, únicamente sobre la actividad del Operador de Información de la Planilla Integrada de Liquidación de Aportes -PILA- definida en el artículo 2° del Decreto 1465 de 2005 y demás disposiciones que lo modifiquen o sustituyan". 

La Superintendencia Financiera de Colombia, en ejercicio de sus facultades legales expidió la Circular Externa 029 de 2012, mediante la cual fijó las “Instrucciones relacionadas con la inspección y vigilancia de la actividad de los Operadores de Información de la PILA”, únicamente en temas relacionados con la administración de los riesgos operativos y la seguridad de la información, para lo cual impartió Instrucciones en materia de seguridad y calidad de la información exclusivamente para este tipo de entidades, Circular que puede consultar en el sitio Web www.superfinanciera.gov.co/Normativa/Normativa General/Circulares Externas. 

Mediante el Decreto 1848 de 2016 se modificó la estructura de la Superintendencia Financiera de Colombia, precisando en su artículo 11.2.1.4.57, que es función del Superintendente Delegado para Pensiones “Supervisar a (…) los operadores de la Planilla Integrada de Liquidación de Aportes -PILA en los términos del Decreto Ley 019 de 2012 (…)”, lo cual implica que, a partir de la fecha de publicación del mencionado Decreto, corresponde a esa Delegatura el ejercicio de la función de supervisión sobre la actividad del operador (inciso tercero del artículo 73 del Decreto 019 de 2012 en concordancia con el artículo 3.2.3.5 del Decreto Único Reglamentario 780 de 2016), considerando los criterios técnicos en materia de riesgo operativo, seguridad y calidad de la información (inciso primero del artículo 73 del Decreto 019 de 2012).

La entidad puede subcontratar las funciones de auditoria o control interno. Sin embargo, la responsabilidad sobre el cumplimiento de las funciones no puede ser delegada en el tercero. Debe quedar claro que la entidad es la responsable de las funciones mencionadas en el artículo 3.2.6.2 de la circular externa  041 de 2007. 

Las Sociedades Especializadas en Depósitos y Pagos Electrónicos (SEDPE) son instituciones financieras de objeto social exclusivo, vigiladas por la SFC, con requisitos regulatorios livianos, que pueden captar ahorros del público únicamente para ofrecer los servicios de pagos, giros, transferencias, recaudo y ahorro, y que se encuentran destinadas a promover la inclusión financiera a través de productos transaccionales . Se  crearon a través de la Ley 1735 de 2014 y se reglamentaron mediante el Decreto 1491 de 2015, ( artículos 2.1.15.1.1. y subsiguientes del Decreto 2555 de 2010). Así mismo, están sujetas a lo dispuesto en la Circular Externa 050 de 2016, Circular incorporada en la Parte II, Título V, Capítulo IV de la Circular Externa 029 de 2014 -Circular Básica Jurídica- .

La entidad puede subcontratar las funciones de la unidad de riesgo operativo. Sin embargo, la responsabilidad sobre el cumplimiento de las funciones no puede ser delegada en el outsourcing por ende debe quedar claro en los contratos que la entidad es la responsable de las funciones mencionadas en el artículo 3.2.4.3 de la circular externa 041 de 2007. 

PCI-DSS es una norma internacional , que consiste en proporcionar estándares de seguridad, que beneficia las transacciones con dinero plástico. La medida establece requerimientos para administrar la seguridad, las políticas, procedimientos, la arquitectura de redes, el diseño de software y la protección de la información, y aplica a toda organización que guarde, transmita o procese datos de tarjetahabientes (número de tarjeta, nombre del titular, el código de seguridad y la fecha de expiración) o datos de autenticación, y está enfocada netamente a los establecimientos que trabajan con tarjetas bancarias para evitar el fraude, estándar que debe cumplir, entre otros, los sistemas de bajo valor, como Credibanco, las pasarelas o procesadores de pago y los comercios, estos últimos, dependiendo del nivel en el que se encuentren clasificados (del 1 al 4), según el número de transacciones que éstos realicen.

Mediante la Circular Externa 007 de 2018, la SFC impartió instrucciones relacionadas con los requerimientos mínimos para la gestión del riesgo de ciberseguridad ,la cual se encuentra incorporada al Título IV de la Parte I de la Circular Básica Jurídica (C.E. 029 de 2014),  que puede ser consultada en el sitio web www.superfinanciera.gov.co., en el ícono normativa/normativa general

Son entidades que prestan servicios de aplicación de comercio electrónico para almacenar, procesar y/o transmitir el pago correspondiente a operaciones de venta en línea, tal y como lo define el numeral 2.2.10 de la Circular Extera 008 de 2018, incorporada en en el numeral 2.3.8 del Capítulo II, Título I de la Parte I de la Circular Externa 029 -Circular Básica Jurídica-.

La Circular Extera 008 de 2018, incorporada en en el numeral 2.3.8 del Capítulo II, Título I de la Parte I de la Circular Externa 029 -Circular Básica Jurídica, establece, entre otros aspectos,  que: "Los establecimientos de crédito y los administradores de sistemas de pago de bajo valor que vinculen a entidades administradoras de pasarelas de pago o establecimientos de comercio que realizan las actividades señaladas en el subnumeral 2.2.10. de este Capítulo, deben cumplir, como mínimo, con los siguientes requerimientos:

2.3.8.1. Incluir en los contratos que celebren con dichos establecimientos de comercio o entidades administradoras de pasarelas de pago:

2.3.8.1.1. La obligación por parte de los establecimientos de comercio o entidades administradoras de pasarelas de pago de contar, mantener y entregar la certificación PCI-DDS emitida por una entidad que ostente la categoría QSA (Qualified Security Assessor).

2.3.8.1.2. La obligación por parte de los establecimientos de comercio o entidades administradoras de pasarelas de pago de contar con una política de tratamiento y protección de datos personales de los consumidores, de acuerdo con lo dispuesto en la Ley 1581 de 2012 y en la Ley 1266 de 2008, en lo que resulte pertinente.

2.3.8.1.3. La obligación por parte de los establecimientos de comercio o entidades administradoras de pasarelas de pago de contar con políticas y procedimientos relacionados con la prevención y el control del riesgo de lavado de activos y financiación del terrorismo.

2.3.8.1.4. La obligación por parte de los establecimientos de comercio o entidades administradoras de pasarelas de pago de adelantar campañas informativas sobre las medidas de seguridad que deben adoptar los compradores y vendedores para la realización de operaciones de comercio electrónico.

2.3.8.1.5. La obligación por parte de los establecimientos de comercio o entidades administradoras de pasarelas de pago de informar al consumidor financiero sobre la manera como se realiza el procedimiento de pago. 

2.3.8.2. Verificar, al menos una vez al año, la vigencia de la certificación PCI-DSS a que hace referencia el subnumeral 2.3.8.1.1. del presente Capítulo."

La Circular Externa 050 de 2016, (incorporada en la Parte II, Título V, Capítulo IV de la Circular Externa 029 de 2014 -Circular Básica Jurídica-), establece que Las SEDPE deben contar con políticas, procedimientos, metodologías y límites, que les permitan identificar, medir, monitorear y controlar el riesgo operativo. La gestión del riesgo se debe hacer acorde con su estructura, los servicios prestados, los canales de atención al consumidor financiero y las actividades que realizan, directamente o a través de terceros.

En este sentido, las disposiciones que le aplican a las SEDPE en materia de administración del riesgo operativo son las establecidas en el numeral 3.1 de la Parte II, Título V del Capítulo IV de la Circular Básica Jurídica, y por lo tanto no se encuentra obligadas a aplicar las “Reglas Relativas a la Administración del Riesgo Operativo” a que se refiere el Capítulo XXIII de la CBCF.

Las Fintech se definen  como "innovación tecnológica en servicios financieros", incluyendo en esta definición una mezcla de productos / servicios y sus tecnologías subyacentes (por ejemplo, pagos minoristas digitales, carteras digitales, crédito FinTech, asesores robóticos y monedas digitales). 

Aún no existe una definición acordada de RegTech  y su tipología. El Instituto de Finanzas Internacionales (IIF) define a RegTech como "el uso de tecnologías para resolver los requisitos regulatorios y de cumplimiento más eficaz y eficientemente". Pueden encontrarse definiciones similares, pero todas parecen relativamente limitadas ante la promesa de que RegTech soporta no sólo la revisión de la normativa y la gestión del riesgo por parte de las instituciones financieras, sino también el proceso de regulación y supervisión. RegTech se puede dividir en dos sub-segmentos: RegTech para instituciones financieras y RegTech para supervisores y reguladores, o SupTech.