Los reguladores estadounidenses aumentan las expectativas sobre la gestión del riesgo de terceros

La reciente publicación de la Guía Interagencias sobre la gestión del riesgo de terceros es un reconocimiento bienvenido de que los bancos de todos los tamaños hacen un amplio uso de las relaciones con terceros. Estas relaciones impulsan el desarrollo de productos y servicios, les ayudan a dominar nuevas plataformas tecnológicas y crean nuevos ahorros de eficiencia.

Estas relaciones pueden abarcar servicios, como servicios de soporte informático, servicios de computación en nube, desarrollo y soporte de aplicaciones, comprobaciones de crédito de clientes, desarrollo de modelos, instalaciones de oficina, servicios de nóminas y RRHH, análisis y datos de mercado, etc.

Estas relaciones también pueden incluir asociaciones sectoriales y podrían abarcar servicios de tarjetas de crédito, asociaciones digitales, productos financieros de marca y otras actividades promocionales.

Relaciones profundamente arraigadas

Las directrices reconocen que algunos de estos servicios y asociaciones están tan arraigados en muchos modelos de negocio bancario que es esencial que los marcos de gestión de riesgos de los bancos, y el escrutinio regulador que los acompaña, se extiendan a estas complejas relaciones con terceros.

Si bien la publicación de la propuesta de directrices ofrece al sector la oportunidad de realizar aportaciones, también indica que la gestión del riesgo de terceros (GTRP) ha pasado de ser un "algo que está bien tener" a una "necesidad de tener".

Para ser justos, los principios de gestión de riesgos de la GTPR son similares a otros aspectos de la gestión de riesgos en la banca.

La guía establece varias áreas básicas a tener en cuenta:

• Planificación
• Diligencia debida y selección de terceros
• Negociación de contratos
• Supervisión y rendición de cuentas
• Seguimiento continuo
• Terminación

Una serie de retos muy variados

Dentro de estos escuetos titulares, hay matices significativos.

1. En primer lugar, se reconoce que los retos y problemas de la GTPR para las instituciones más grandes son radicalmente distintos de los de las más pequeñas. El texto reconoce que obligar a las entidades de ambos extremos del espectro a utilizar los mismos sistemas y procesos sería poco práctico. En su lugar, se espera que las entidades dispongan de sistemas y procedimientos adaptados a su propio perfil de riesgo de GTPR.
2. En segundo lugar, las orientaciones reconocen que las relaciones con terceros a menudo necesitan relaciones de subcontratación de cuarto y quinto nivel para cumplir los requisitos contractuales. Esto obliga a los bancos a considerar la naturaleza de estas relaciones más profundas -no sólo los terceros con los que contratan directamente- a la hora de realizar su diligencia debida, así como de gestionar su riesgo. Los bancos necesitan comprender cómo obtener visibilidad de estas relaciones profundas, incluso cuando carecen de una relación contractual directa.
3. En tercer lugar, estas relaciones profundas ponen de relieve la cuestión del riesgo de concentración. Por ejemplo, en el sector bancario, muchas aplicaciones de software y proveedores de servicios ofrecen capacidades basadas en SaaS para proporcionar su funcionalidad. A menudo utilizan uno de un pequeño número de proveedores de servicios en nube para suministrar la pila tecnológica subyacente. El reducido número de proveedores de servicios en la nube significa que si uno de ellos tiene un problema de cualquier envergadura, puede afectar potencialmente a muchos proveedores de servicios de software para bancos. Esto, a su vez, puede afectar a los bancos que utilizan estos servicios, potencialmente en procesos críticos para el negocio, afectando a la economía en general y a la confianza en el sector bancario. Estos riesgos pueden surgir por cuestiones tecnológicas, así como por desarrollos contractuales o comerciales.

Integración de la GTPR en el panorama de riesgos de la empresa

Aplicar los principios básicos de la gestión de riesgos a la GTPR significa que estos riesgos deben integrarse en el panorama más amplio de la gestión de riesgos empresariales. Esto ayuda a la empresa a tener en cuenta su perfil de GTPR en sus planes más amplios de resistencia empresarial para garantizar que, incluso en caso de interrupción de la actividad, pueda seguir prestando sus servicios básicos, tal y como esperan los reguladores del sector financiero y la economía real.

Aunque los reguladores han solicitado comentarios, la dirección a seguir por los bancos está clara, y tienen que empezar a hacer sus planes para aplicar el texto final.

Entonces, ¿cómo es la solución óptima al riesgo de la GTPR?

La capacidad de "llegar" hasta lo más profundo de la cadena de suministro hace imprescindible una aplicación descentralizada basada en SaaS. Las empresas situadas en los niveles tercero, cuarto y quinto de una cadena de suministro pueden aplicar rápida y fácilmente los requisitos de GTPR de las empresas, aunque no tengan una relación directa.

Dentro de un banco , debe existir un repositorio centralizado que contenga los contratos pertinentes, la documentación estándar de las políticas y los perfiles de riesgo de los distintos proveedores. También es esencial la capacidad de supervisar proactivamente los diversos elementos de la cadena de suministro. Si surgen problemas a cualquier nivel -técnico, comercial, operativo o político, por ejemplo-, las funciones de riesgo, operaciones y cumplimiento del banco pueden responder proactivamente según sea necesario.

Mitratech ofrece una gama de soluciones TPRM potentes y probadas que ayudarán a los bancos a responder de forma positiva y decisiva a las mayores expectativas de su regulador. Más información.