Prepare su programa de PRL para las directrices interinstitucionales
Prepare su programa de PRL para las directrices interinstitucionales
Descripción
La Junta de Gobernadores del Sistema de la Reserva Federal (la Junta), la Corporación Federal de Seguros de Depósitos (FDIC) y la Oficina del Contralor de la Moneda (OCC) del Departamento del Tesoro de Estados Unidos han finalizado recientemente unas directrices uniformes sobre la gestión de los riesgos asociados a las relaciones con terceros en las organizaciones bancarias. Estas directrices sustituyen a las ya existentes en cada organismo para dar coherencia a la forma en que las entidades bancarias elaboran y aplican los principios de gestión del riesgo de terceros (GTRP).
Se espera que la normativa se cumpla plenamente en los próximos 12 meses, pero ¿cómo saber por dónde empezar o cómo se aplican las directrices a su organización?
Acompañe a Joseph Martinez, Director General jubilado y Jefe de Compras de BNY Mellon, en su análisis de las directrices y de cómo pueden afectar a su programa de gestión de las relaciones con los clientes.
En este seminario web a la carta, Joseph:
- Ofrece una visión general de la Guía Interagencial Financiera de EE.UU.
- Define las etapas del ciclo de vida de terceros según la definición del Consejo, la FDIC y la OCC.
- ...¡y mucho más!
Vea este seminario web para asegurarse de que el programa TPRM de su organización cumple las directrices de la Interagencia Financiera de EE.UU.
Altavoces
José Martínez
Director General jubilado y Jefe de Compras de BNY Mellon
Transcripción
Ashley: Uh, también no puede olvidarse de algunas presentaciones. Mi nombre es Ashley. Trabajo en desarrollo de negocios aquí en Prevalent. Y hoy estamos con algunos invitados muy especiales. El director de privacidad retirado, Joseph Martínez. Hola, Joseph. Joseph: Adquisiciones. Oh , adquisiciones. Lo siento mucho. Um, jefe de adquisiciones. Y nuestro propio vicepresidente de marketing de producto, Scott Lang. Hola, Scott. Hola, Ashley . Ashley : Uh, sólo un poco de limpieza. Este webinar se está grabando y enviaremos la grabación junto con las diapositivas de la presentación poco después del webinar. Uh todos ustedes están actualmente silenciados, pero animamos a la participación. Así que, por favor, pongan cualquier pregunta que puedan tener en nuestra caja de preguntas y respuestas para que podamos repasarlas al final del webinar. Hoy, Joseph repasará las directrices de la agencia interfinanciera de EE.UU. para las relaciones con terceros. Así que, Joseph, voy a pasar las riendas a usted y le permiten empezar.
Joseph: Gracias. Muchas gracias. Quiero empezar dando las gracias a Prevalent y al equipo de Prevalent por invitarme a hablar hoy con ustedes sobre este tema tan esperado. Ya sabes, esto es crucial para todos los que estamos en los servicios financieros y todos hemos estado anticipando la publicación de la guía final entre agencias sobre las relaciones con terceros desde hace unos dos años. Joseph: Creo que fue en julio de 2021 cuando se publicaron por primera vez para comentarios. Ese período de comentarios se extendió y, finalmente, ya sabes, he aquí, más de dos años después, aquí estamos. Así que, digamos que, ya sabes, muchos de nosotros, yo incluido, Estamos comprobando diligentemente el Registro Federal, ya sabes, a menudo en previsión de la publicación de esta directriz final. Joseph: Así que, um, ya sabes, vamos a seguir adelante y empezar. Así que, cuando echamos un vistazo a la agenda aquí, ya sabes, tenemos mucho que cubrir hoy. Y, ya sabes, eh, cuando nos fijamos en la orientación, la orientación son cerca de 70 páginas, ¿verdad? Joseph: Y quiero dejar tiempo para que podamos responder a sus preguntas, pero si no podemos llegar a todas sus preguntas en esta sesión, vamos a llevar a cabo una segunda parte de la sesión en las próximas semanas para asegurarnos de que le estamos proporcionando toda la información que necesita en el desarrollo de su programa, porque los cambios en el cumplimiento y para estar en conformidad con las directrices finales entre agencias para la gestión de riesgos de terceros son bastante cruciales y por eso es muy importante que profundicemos un poco. Joseph: Um normalmente no soy alguien que le gusta tener un montón de gráficos, pero lo que vas a encontrar es que va a haber un montón de quiero decir, me gusta tener un montón de gráficos y un montón de narrativa, pero en este caso, he tenido que tener en realidad una gran cantidad de narrativa para su educación para que podamos asegurarnos de que estamos pasando por las directrices adecuadamente. Joseph: Por lo tanto, realmente queremos cubrir cuatro áreas. Uno es proporcionar una visión general de los EE.UU. inter agencia financiera orientación. uh a la segunda es definir las etapas del ciclo de vida de terceros según lo definido por el consejo de la FDIC y la OTC. Uh y luego también queremos examinar los requisitos que las organizaciones van a necesitar para hacer frente a cada etapa en ese ciclo de vida y luego reconocer las mejores prácticas uh que no sólo los servicios financieros, sino todas las industrias pueden tipo de seguir. Así que si pudiéramos llegar a la siguiente diapositiva. Siguiente diapositiva, por favor. Todavía veo la agenda. No estoy seguro de que el resto de ustedes lo estén viendo. Así que, Scott, uh
Scott: no, estoy en la, uh, estoy en la diapositiva de las agencias involucradas con los tres logotipos de la Fed, la FDIC, y la OC. ¿No lo ves? Joseph: Una diapositiva más por favor. Allá vamos. Así que, ya sabes, vamos a empezar con una explicación. Las agencias están involucradas. Bien. Entonces, la junta de la FDIC sabe que esa es la diapositiva correcta. No, esa es la diapositiva correcta. Ahora, sólo tomó un tiempo que decidieron que realmente querían reunirse y querían realmente pensar acerca de cómo alinearse realmente en términos de lo que su orientación iba a ser. Joseph: Y usted sabe, cuando pensamos en ello, lo están viendo desde lentes ligeramente diferentes. Así, por lo que la junta de gobernadores de la Junta de la Reserva Federal, ya sabes, son responsables de regular y supervisar las sociedades de cartera bancaria y las organizaciones bancarias extranjeras que operan en los Estados Unidos. Joseph: Así que tienen sus circunscripciones, la FDIC o la Corporación Federal de Seguros de Depósitos, que están proporcionando seguro de depósitos para los bancos y la promoción de prácticas bancarias sólidas. Ahora bien, cuando pensamos en esto, ellos supervisan a los bancos estatales, ¿de acuerdo? Y que no son miembros del sistema de la Reserva Federal y actúan como el principal regulador federal para muchos bancos comunitarios, ¿verdad? Joseph: Y luego tenemos la oficina de la OC, que es la oficina de control de la moneda. Y esta es una oficina independiente dentro del Departamento del Tesoro de EE.UU. y está regulando los bancos nacionales y la Asociación Federal de Ahorros. Joseph: Así que todos estos tipo de juego con los demás y por lo que realmente tenía mucho sentido para la gente a tipo de para que se reúnan y piensen a través de la forma en que realmente van a tener orientación que va a ser uh coherente en lugar de tener matices ligeramente diferentes, ya que estaban pasando por eso. Así que si pudiéramos llegar a la siguiente diapositiva, por favor. Joseph: Así que, así que la orientación final de las agencias y nos vamos a referir a ellas como las agencias , emitieron la orientación para promover, ya sabes, prácticas sólidas de gestión de riesgos de terceros. Joseph: Ahora de nuevo la orientación final ofrece puntos de vista sobre los principios de gestión de riesgos uh para los bancos en el desarrollo y aplicación de las prácticas de gestión de riesgos en todas las etapas del ciclo de vida de las relaciones con terceros. Joseph: Ahora bien, esta orientación final también establece que la buena gestión del riesgo de terceros tiene en cuenta el nivel de complejidad del riesgo y el tamaño de la organización bancaria y la naturaleza de la relación con terceros. Ahora, eso es bastante crítico porque teniendo en cuenta el tamaño de la organización bancaria va a ser realmente útil en términos de cómo están cumpliendo realmente con lo que está pasando. Joseph: Por lo tanto, las agencias emitieron esta guía conjunta para promover la coherencia en sus enfoques de supervisión y está reemplazando las directrices generales existentes de cada agencia sobre el tema y está dirigido a todos los bancos que son supervisados por todas estas agencias. Joseph: Así que, ya sabes, para ser claros, chicos, las organizaciones bancarias utilizan a terceros. No, ya sabes, mediante el uso de un tercero, no estás eliminando la responsabilidad que el banco tiene en términos de cómo van a estar operando en realidad. Y así, eh, es realmente importante que pensemos en lo que está pasando allí. Joseph: Y, um, ya sabes, de nuevo, el uso de un tercero no va a disminuir o eliminar las responsabilidades de la organización bancaria para garantizar que las actividades se realizan de una manera segura y sólida y de conformidad con las leyes y reglamentos aplicables. Joseph: Y usted sabe lo que también está sucediendo es que están rescindiendo y reemplazando todas estas directrices que se ven aquí, las directrices de 2013 de la junta, las directrices de 2008 de la FDIC y la OC 213-29 y las preguntas más frecuentes de 2020. Todos ellos han sido rescindidos y son ahora uh a partir del 6 de junio. uh son las directrices finales um inter agencia se han publicado. Joseph: Así que estamos un poco más de un mes en esto que es lo que es bueno y es por eso que es tan oportuno para nosotros tener este tipo de conversación. Podríamos ir a la siguiente diapositiva.
Ashley: Hola Joseph Ashley aquí. Um Ashley: así que ya sabes la agencia uh emitió las directrices conjuntas para promover la coherencia en términos de su enfoque. Así que esta guía es que usted sabe que está abordando los principios clave que los bancos pueden aprovechar al desarrollar e implementar los procesos de gestión de riesgos y y y estas unidades realmente Hey, Joseph, ¿te importa apagar la cámara? Parece que tu señal es un poco irregular. ¿Pueden oírme? Joseph: Pido disculpas. Dificultades técnicas.
Joseph: Vamos a tratar um hacerlo con la cámara apagada y tal vez va a arreglar el uh calidad. Espero que sí, tengo un montón de ancho de banda. En realidad estoy en una generosidad muy rápido, así que no estoy seguro de lo que está pasando, pero uh vamos a seguir adelante y um y continuar. Joseph: Correcto. Cuando nos fijamos en esto, usted sabe, la orientación es realmente tipo de teniendo en cuenta lo que las empresas necesitan que los bancos deben seguir. Y usted sabe, usted necesita entender que se trata de orientación. Realmente no es necesariamente una ley que está entrando en vigor. Joseph: Y así, usted sabe, um también, si usted está utilizando un tercero, su responsabilidad como un banco no está siendo eliminado. Usted todavía tiene el requisito de ser capaz de garantizar que lo que está haciendo es en realidad, ya sabes, en consonancia con lo que estamos lo que estamos viendo. Si pudiéramos ir a la siguiente diapositiva. Joseph: Así que, ya sabes, cuando nos fijamos en la orientación que está abordando, es que realmente está mirando, ya sabes, cómo las organizaciones bancarias pueden formar las relaciones con terceros. Y, ya sabes, todos sabemos que hay un montón de nuevos tipos de proveedores que están surgiendo y nuevos tipos de empresas que los bancos están empezando a trabajar dentro de las áreas de fintech. ¿Verdad? Joseph: Por lo tanto, es importante para nosotros pensar en lo que está pasando. Y ese segundo punto es realmente muy importante cuando sabes que existe una relación con un tercero a pesar de la falta de un contrato o renumeración. Eso es algo que es realmente importante que pensemos debido a la forma en que las cosas están siendo... históricamente lo estábamos viendo desde una perspectiva contractual. Estábamos mirando en términos de lo que es ese tercero. Ahora, estamos realmente mirándolo, creo, en una avenida un poco más amplia. Y creo que los principios que están estableciendo son realmente importantes para que pensemos. Joseph: Así que, um de nuevo, usted sabe, un banco puede estar expuesto a uh impactos adversos, incluyendo la pérdida financiera sustancial y la interrupción operativa si no gestiona adecuadamente los riesgos asociados con los terceros. Y por eso estas directrices son tan importantes. Es importante que el banco identifique, evalúe, supervise y controle el riesgo relacionado con terceros.
Joseph: relaciones. Así que esto es algo que es, ya sabes, un principio clave que se establece uh con el fin de que seamos capaces de tipo de pensar a través. Si pudiéramos pasar a la siguiente diapositiva, por favor. Joseph: Así que de nuevo, no todas las relaciones uh presentan el mismo nivel de riesgo, ¿verdad? Así que las agencias han aclarado y racionalizado la orientación y han eliminado los detalles que se duplicaban en algunos casos por no ser útiles o que podrían ser interpretados como excesivamente prescriptivos, ¿verdad? José: Y al hacer esto, están queriendo que pensemos, ya sabes, y pensemos, ya sabes, una actividad que es crítica para una organización bancaria puede no ser crítica para la otra. Y esto se remonta a lo que dije antes, ya sabes, están tomando en consideración el tamaño del banco. Y ahora no están mirando con una sola lente a todo el mundo. Ellos están mirando en base a lo que es apropiado para su organización. Y por lo que es realmente importante que pensemos a través de uh lo que está sucediendo allí. Joseph: Y de nuevo, le corresponde a cada organización bancaria identificar sus actividades críticas y sus relaciones con terceros uh que apoyan esas actividades críticas porque va a ser diferente basado en el apetito de riesgo, la metodología de riesgo que está siendo empleada por ese banco. Así que creo que es un buen punto de aclaración que necesitábamos revisar. Joseph: Y si pudiéramos ir a la siguiente diapositiva. Así que las agencias también querían reiterar que la orientación fue creada en base a principios, ¿verdad? Así que cuando dicen que la orientación fue creada en base a principios, lo que quieren decir es que la orientación se basa en un conjunto de normas fundamentales, reglas o valores que proporcionan un marco para la toma de decisiones y acciones. Así que en lugar de dar normas e instrucciones prescriptivas detalladas, los reguladores están estableciendo un conjunto de principios que las organizaciones deben cumplir, ¿verdad?
Joseph: Y así, de nuevo, cuando echamos un vistazo a estos, estos son puntos de vista de alto nivel en términos de lo que son lo que están hablando, pero ya sabes, las agencias están realmente tratando de decir, está bien, ustedes tienen que apoyar un enfoque basado en el riesgo de sus organizaciones bancarias para evaluar el riesgo planteado por sus terceros y luego tienes que adaptar tu proceso de gestión de terceros en consecuencia para que lo que estás haciendo es que en realidad estás poniendo esto en el contexto adecuado para lo que estás haciendo y es casi como resolver un cubo de Rubik, ¿verdad? Joseph: Así que es importante involucrar al personal con los conocimientos y habilidades necesarias en cada etapa de la gestión de este ciclo de vida. Así que lo que te están diciendo que hagas es que realmente necesitas involucrar a los expertos a través de múltiples disciplinas en tu organización, ya sea el asesoramiento jurídico, ya sea el cumplimiento de riesgos, la tecnología, etc., así que traer a los expertos a través de múltiples disciplinas creo que es muy importante y realmente entender que un banco es un banco... de entender que un banco utiliza un servicio de evaluación de terceros que es usted sabe que hay sus servicios de evaluación um por ahí como trusite como un ejemplo um que están utilizando como utilidad por lo que tiene si su banco está utilizando uno de estos como un acuerdo de negocios que el acuerdo debe ser incorporado en el banco uh proceso de gestión de riesgos de terceros. Joseph: Así que sólo porque estés subcontratando algo no significa que no necesites mirarlo apropiadamente a través de tu propia lente y por eso es realmente crítico identificar las actividades que la relación con terceros apoya y entonces notablemente esa actividad que es crítica para una organización bancaria puede no ser crítica para otra. Así que es importante que pensemos en todo esto. Si pudiéramos pasar a la siguiente diapositiva, por favor. Joseph: Así que ahora queremos hablar de la definición de las etapas del ciclo de vida de terceros. Todos los que llevamos en esto más de un año probablemente entendemos lo que es, pero vamos a repasarlo ahora porque ahora hay una alineación en todas las agencias en términos de lo que es.
Joseph: Así que si pudiéramos ir a la siguiente diapositiva y usted sabe cuando usted echa un vistazo a esto, esto es una diapositiva de edad, pero esto es en realidad tomado directamente de la nueva orientación. Bueno, originalmente esto fue publicado por el OC. Pero ahora ha sido modificado y ha sido adaptado tanto por la junta, la FDIC y la OCC como las etapas del riesgo del ciclo de vida de la gestión. Joseph: Así que usted sabe que usted tiene la planificación, la debida diligencia y la selección de terceros, tiene la negociación del contrato, el seguimiento continuo y y y, obviamente, usted sabe la terminación al final de ese proceso. Joseph: Esto significa que ahora tenemos un proceso estándar repetible, ya sabes, evaluaciones cualitativas y cuantitativas, que tenemos un tratamiento de riesgo consistente y necesitamos dimensionar nuestra carga de trabajo para involucrar a la gente adecuada en el momento adecuado si queremos cumplir con la nueva regulación. y hayan adoptado un punto de vista específico porque creo que es muy importante que pensemos en ello y por qué no seguimos adelante y pasamos a la siguiente diapositiva para examinar los requisitos que las organizaciones deben abordar en cada etapa del ciclo de vida y han sido muy buenos en términos de proporcionar esa orientación. Joseph: Una vez más, no es prescriptivo, pero créeme, van a venir y van a querer echar un vistazo a eso. Así que, cuando pasemos a la siguiente diapositiva, empecemos con todo ese proceso de planificación. ¿De acuerdo? Joseph: Así que, cuando empezamos a pensar en la planificación, y yo era muy prescriptivo en ir a la regulación real y um orientación y en realidad tirando de la información para usted. Por lo tanto, no quiero ir a través de cada uno de estos en detalle, porque usted va a obtener una copia de la cubierta, pero quiero que usted sea capaz de entender que esto es lo que realmente está en ese documento, ¿verdad? Joseph: Y así uh por lo que la orientación, ya sabes, realmente se ocupa de cómo vas a estar pensando en la planificación y ya sabes lo que tienes que estar considerando y cómo vas a estar manejando eso.
Joseph: Y cuando hablan de entender el propósito estratégico del acuerdo de negocios, tienes que entender cómo el acuerdo se alinea con las metas estratégicas generales de la organización, los objetivos, el apetito de riesgo, el perfil de riesgo y las políticas corporativas más amplias. Hay mucha información que desentrañar, pero eso es lo que intentan que pienses, ya sabes, quieren que cuando identifiques y evalúes los beneficios y los riesgos asociados con el acuerdo comercial, determines cómo gestionar adecuadamente los riesgos identificados. Joseph: Por lo tanto, no es suficiente con identificar los riesgos. Tienes que aceptarlos o mitigarlos. Y por eso quieren que pienses en ello. Joseph: Por lo tanto, como usted está considerando la naturaleza del acuerdo de negocios, usted sabe, ellos quieren que usted piense en esto de manera integral y quieren que usted piense en términos de donde la actividad está sucediendo en realidad, ¿verdad? Porque, de nuevo, cuando echas un vistazo a lo que están hablando, quieren que pienses realmente en cómo estás poniendo en marcha tu programa y cómo se está llevando a cabo el trabajo en ese lugar y si hay requisitos reglamentarios locales o globales que se están imponiendo. Joseph: Por lo tanto, cuando usted está viendo en el número tres cuando dice considerar la naturaleza de los acuerdos comerciales, tales como el volumen de actividad, el uso de subcontratistas, la tecnología necesaria, la interacción con los clientes, y el uso de terceros con sede en el extranjero. Eso es nuevo y es crítico, ¿verdad? Joseph: Así que cuando se habla de terceros con sede en el extranjero, se refieren a terceros que prestan servicios a sus operaciones y están ubicados en un país extranjero, offshore, nearshore, ¿verdad? Y están sujetos a las leyes y jurisdicciones de ese país. Joseph: Por lo tanto, este término no incluye una filial con sede en EE.UU. de una empresa extranjera. porque hay operaciones de servicio que están sujetas a las leyes de EE.UU.. Por lo tanto, realmente están queriendo pensar en eso en cuanto a la forma en que realmente están haciendo eso.
Joseph: Y creo que eso es lo que es realmente importante. Y de nuevo, cuando nos fijamos en la forma en que estamos evaluando cómo la relación con terceros podría afectar a los empleados de la organización bancaria, incluidos los empleados duales, ya sabes, y cuáles son los pasos de transición necesarios para el banco uh para gestionar los impactos cuando las actividades actualmente realizadas son, ya sabes, actualmente realizadas. internamente son subcontratadas, ¿verdad? Joseph: Así que quieren que pienses en estas cosas y que demuestres que tienes un plan tangible, que tienes el nivel adecuado de formación, que tienes el nivel adecuado de diligencia debida tanto en el individuo como en el servicio como en la empresa. Así que, ya sabes, se están convirtiendo, creo, creo que realmente bueno en términos de establecer el marco. Luego tienes que tomar ese marco y traducirlo en tu programa. Siguiente diapositiva, por favor. Joseph: Así que, continuando con este tema en términos del grado de riesgo y complejidad. Ya sabes, de nuevo, evaluando el impacto potencial de un tercero en sus clientes, ¿verdad? Bueno, esto incluye el acceso y el uso de la información del cliente, la interacción de terceros con los clientes, sus centros de llamadas, etc. Uh potencial de daño al consumidor y el manejo de las quejas y consultas de los clientes. Por lo tanto, están queriendo que usted piense en eso. Joseph: Es un ya sabes, de nuevo, muy alto nivel punto número seis, pero requiere una gran cantidad de bajo um una gran cantidad de aplicación. complejidad, ¿verdad? Y cuando decimos que estamos entendiendo la información potencial o la seguridad implementar uh implicaciones, ¿verdad? Esto incluye el acceso al banco a los sistemas del banco, ¿verdad? Y a la información confidencial. Y esto es realmente crítico, especialmente con muchas de las violaciones de datos que estamos viendo ahora y que estamos viendo que muchas de ellas se han originado en la cadena de suministro en lugar de la organización real. Así que, ya sabes, quieren que pensemos en eso.
Joseph: Número ocho es bastante crítico cuando se piensa en la comprensión de las posibles implicaciones de seguridad física y y esto es que usted sabe que tiene que pensar en si van a tener acceso a las instalaciones del banco van a venir en el sitio y sé que esto ha cambiado un poco desde eh desde co pero usted sabe que todavía tenemos tenemos terceros que para poder producir los bienes y servicios que nos están proporcionando tienen que venir al sitio uh cuando echamos un vistazo como ejemplo en el número 10 determinando la capacidad de la organización del banco para proporcionar una adecuada supervisión y gestión de la relación propuesta con terceros de forma continua. Joseph: Bueno, ya sabes, esto incluye si los niveles de dotación de personal y la experiencia o la gestión de riesgos y el cumplimiento de los sistemas de gestión se adhieren a todos, ¿verdad? Quieren asegurarse de que usted tiene el nivel adecuado de controles internos para sus sistemas. Ya sabes, que estás abordando efectivamente el acuerdo comercial que se ha reducido a la escritura en el contrato y que realmente lo estás supervisando adecuadamente. Joseph: Así que, de nuevo, todo esto forma parte de la planificación. Tienes que pensar en esto antes de seguir adelante si quieres tener éxito en lo que estás haciendo. Si pudiéramos ir a la siguiente diapositiva, por favor. Joseph: Así que, ya sabes, cuando pensamos en la debida diligencia, que usted sabe, usted tiene la planificación, entonces usted tiene que la debida diligencia. Bien, esto es uh usted sabe, la realización de la debida diligencia en sus terceros antes de seleccionar y entrar en una relación con terceros. Es una parte importante y crítica de la gestión de riesgos. De acuerdo. Joseph: El proceso de diligencia debida proporciona al banco la información necesaria para evaluar si puede identificar, supervisar y controlar adecuadamente los riesgos asociados con la relación que están entablando. Y esta diligencia debida incluye, ya sabes, la evaluación de la capacidad del tercero para realizar la actividad como se espera.
Joseph: Usted sabe, se adhieren a la banca o um usted sabe, las políticas um usted sabe, si son capaces de cumplir con las leyes aplicables, reglamentos, llevar a cabo la actividad de una manera segura y sólida. Es echar un vistazo a su viabilidad financiera. Es echar un vistazo a, ya sabes, sus perfiles, etc. Así que es realmente un tipo de pensamiento a través de usted sabe y por lo que las agencias no creen que sería apropiado para un banco para llevar a cabo la debida diligencia reducida únicamente en el tipo de entidad de terceros. Joseph: Uh, hubo muchos comentarios que se pusieron en el período de comentarios en torno a que sobre la base de algunos de estos comentarios la gente estaba queriendo decir en realidad cómo podemos en realidad uh potencialmente reducir la cantidad de la carga de la debida diligencia sobre la base del tipo de entidad de terceros que estábamos tratando y que era realmente como se puede ver no se acepta la derecha y así um usted sabe el cuando usted está echando un vistazo a la el orientación también establece que al evaluar el riesgo de una relación con terceros un banco puede considerar la información disponible de diversas fuentes, así que te están diciendo que no sólo confíes en lo que puedes hacer internamente, echa un vistazo a lo que tienes por ahí, pero cuando estás mirando las cosas por ahí, tienes que asegurarte de que realmente estás entendiendo y tomando esa información. Joseph: Pero al tomar esa información externa, no está reduciendo su uh responsabilidad como organización para asegurarse de que usted está que usted está realmente haciendo el nivel correcto de diligencia debida y que la información que usted está trayendo es, ya sabes, es realmente la responsabilidad de su organización para gestionar con el fin de que para que para que esté disponible. Joseph: Así que usted sabe, la orientación está proporcionando um establece que en determinadas circunstancias los bancos deben considerar la adopción de medidas para mitigar los riesgos o si los riesgos no pueden ser mitigados que necesitan para determinar si los riesgos residuales son aceptados lo que significa que usted necesita tener una metodología de riesgo que es sólido y que tiene la capacidad de demostrar de manera tangible a ellos que usted tiene el control sobre lo que está haciendo. Joseph: Creo que es importante que pensemos por qué las agencias están haciendo esto.
Joseph: Ellos están haciendo esto porque mirando hacia atrás desde 2008 hasta ahora ha habido una gran cantidad de diversos uh problemas con terceros y por lo que quieren asegurarse de que están tomando el conocimiento que han sido capaces de recoger uh durante este último usted sabe período de tiempo e incorporarlo en la orientación de modo que lo que están haciendo es que están proporcionando un nivel y un marco que debemos ser capaces de tomar y poner en práctica y por lo que creo que es muy importante para nosotros estar pensando en por qué estamos haciendo esto y cómo esto está sucediendo Y una de las cosas que la guía hizo fue que en realidad tuvo en cuenta algunos de los conceptos que estaban en las preguntas más frecuentes OC. Joseph: Bien. Y entonces los tomaron y trataron de inculcarlos en las diferentes partes, ya sabes, si se trataba de la planificación, la debida diligencia, etc. ¿Correcto? Joseph: Y así um usted sabe la orientación um es realmente algo que es la incorporación de una gran cantidad de esas preguntas más frecuentes. en el proceso de modo que lo que estás haciendo ahora es en lugar de tener que ir a varios documentos, usted tiene una directriz clara y coherente que le está ayudando a ver realmente lo que está pasando. Joseph: Pero al fin y al cabo, las directrices hacen hincapié en que es responsabilidad del banco identificar y evaluar los riesgos asociados con cada uno de sus terceros y adaptar la práctica de gestión de riesgos, una vez más, al tamaño de la organización, la complejidad de la organización, el perfil de riesgo que tiene y, obviamente, la naturaleza de las relaciones con terceros que está estableciendo. Joseph: Pero las agencias no han excluido ninguna relación específica con terceros del ámbito de aplicación de las directrices. Y esa era una de las cosas que se pedían cuando decían, vale, ya sabes, ¿podemos excluir banco a banco? ¿Podemos excluir a las filiales, etc.? Están diciendo que no estamos excluyendo ninguna relación específica con terceros del alcance de la guía. Si pudiéramos pasar a la siguiente diapositiva, por favor.
Joseph: Así que cuando usted está buscando en la debida diligencia, el alcance y el grado de la debida diligencia debe ser consem identificar y documentar las limitaciones de su debida diligencia y comprender los riesgos de tales limitaciones considerar alternativas a la forma en que podría mitigar ese riesgo, incluyendo potencialmente buscando en una fuente diferente. ¿Verdad? Joseph: Por lo tanto, la diligencia debida incluye la evaluación de la capacidad del tercero para llevar a cabo la actividad esperada de conformidad con las políticas de la organización bancaria y la actividad relacionada y para cumplir con todas las leyes y reglamentos aplicables y para llevar a cabo esa actividad de una manera segura y sólida. Joseph: Estoy poniendo esto aquí y estoy reiterando esto porque de nuevo esto viene directamente de la orientación y es algo que todos los que hemos hecho la gestión de riesgos de terceros por más de un día sabemos que esto es una especie de base fundamental de lo que estás haciendo cuando empiezas a mirarlo desde una perspectiva de diligencia debida. Joseph: Pero esto es algo que usted sabe, re-enfatizado, que han reinculcado en lo que está pasando. Y creo que es muy importante para nosotros estar pensando en cómo eso que realmente funciona. Por lo tanto, si pudiéramos ir a la siguiente diapositiva, por favor. Joseph: Por lo tanto, cuando nos fijamos en esto, hay 14 diferentes áreas de enfoque y la debida diligencia que han que han publicado. Y en realidad han puesto un poco de información debajo de cada uno de ellos. Ahora, los pongo aquí porque creo que es importante para nosotros pensar en lo que querían que pensáramos y lo que es la revisión que tenemos que pasar. Joseph: Y así, cuando usted piensa en esto, si sus programas actuales no están realmente en la fase de diligencia debida abordar cada una de estas 14 áreas, es probable que va a tener un problema. Es probable que reciba un MRA o un MIR, etc. Así que es importante que piense en ello y en cómo aplicarlo, ¿verdad?
Joseph: Porque cuando se echa un vistazo a cada una de estas cosas, Es muy importante si usted echa un vistazo a, por ejemplo, la condición financiera que usted ha visto que usted sabe que esto es realmente usted sabe una evaluación de la viabilidad financiera de terceros y así tomar esta información de los estados financieros o informes anuales o usted sabe presentaciones ante la comisión de intercambio de valores y otros todos estos se utilizan para ayudar a evaluar la capacidad financiera y la estabilidad del proveedor que está trabajando y así que usted sabe que hay una gran cantidad de esfuerzo que va a ser necesario en estar por debajo de cada uno de estos. Joseph: Y me gustaría animar a todos a ir allí y pensar en cómo su programa actual se ocupa de estos. Y si no lo está haciendo de una manera suficientemente sólida, os animaría a pensar en cómo, ya sabéis, analizarlo. Joseph: Y luego, a medida que analizas las herramientas que respaldan tu programa, asegúrate de que puedes decir, bueno, ¿cómo hago un seguimiento e informo con mi herramienta sobre estas áreas? Porque creo que es muy importante que pensemos en eso, ¿verdad? Joseph: Um y y algo de esto se va a hacer fuera de línea. Mucho de esto se puede hacer a través de las herramientas, pero creo que es muy importante. Creo que una de las áreas que realmente están enfatizando ahora están en el si nos fijamos en el número E, las calificaciones y los antecedentes del personal clave y otras consideraciones de recursos humanos declaración amplia, pero lo que están queriendo hacer es que están queriendo mirar a las calificaciones y la experiencia de los principios de terceros y otro personal clave. Así que ahora que es un doble clic que nos están pidiendo que hacer, ¿verdad? José: Así que nos piden que analicemos en profundidad quién es el personal con el que te relacionas dentro de ese tercero, ¿verdad? Y así, um ya sabes, si no estás haciendo eso hoy, es probablemente un área que realmente necesitas abordar, ¿verdad? Joseph: Y así um otra consideración es si el tercero tiene la formación para garantizar que sus empleados entiendan sus deberes y responsabilidades.
José: Y luego el conocimiento acerca de las leyes y reglamentos que se aplican a lo que están realizando por su parte, ¿verdad? Así que creo que tenemos que replantearnos lo que hemos hecho históricamente, creo que ha sido genial. Esto es realmente tomarlo y hacer doble clic y hay algunas uh instituciones que realmente sólo han tenido un impacto nominal por su regulador en términos de lo que han tenido que hacer de la tercera parte. Así que mucho de esto va a ser realmente nuevo para ellos. Joseph: Mucho de esto va a ser como oh Dios mío ¿Cómo voy a hacer el flujo de trabajo en torno a esto? ¿Cómo voy a ser capaz de demostrar tangiblemente que? Bueno, de nuevo, estas cosas son directrices. Estas directrices se están poniendo de nuevo a cabo de modo que lo que somos capaces de hacer es que somos capaces de pensar en cómo podemos realmente de una manera muy convincente y concisa poner un programa juntos y que el programa va a tener que fluir todo el camino desde la junta de cada una de estas organizaciones. Joseph: Así que, ya sabes, un montón de trabajo que está pasando allí uh cuando se piensa en esto y así um me gustaría animarle a tipo de pensar a través de cada una de estas áreas. Ve a la guía actual y sabes que es importante revisar y entender lo que se está pidiendo y y y sabes cuando estás haciendo esto sabes lo que puedes usar desde una perspectiva tecnológica con el fin de ser capaz de permitir que esto sea mucho más um sabes resistente y mucho más uh facilidad de uso y y asegúrate de que tienes la capacidad de cumplir realmente con lo que estas directrices se tratan. Joseph: Así que si pudiéramos ir a la siguiente diapositiva. Así que ahora pasamos de la planificación que teníamos a la diligencia debida ahora vamos a la negociación de los contratos y de nuevo si usted puede echar un vistazo a esto se trata de una gran cantidad de información estándar que han tomado de varios eh revisiones que han hecho a lo largo de los años eh de la información que obtuvieron de los comentarios de la eh varias eh inspecciones que han hecho y todo esto se hace para ayudarles básicamente a decir: "Bueno, esto es lo que pensamos que usted necesita estar pensando.
Joseph: Ahora, vamos a medir en contra de ella, ¿verdad? " Por lo tanto, en la negociación de un contrato, ya sabes, es útil para un banco para aclarar e identificar los derechos y responsabilidades de cada parte, ya sabes, y tienes que asegurarte de que realmente estás haciendo eso. Joseph: Por lo tanto, tener un MSA estándar va a ser importante o acuerdo maestro de compra, etc., ¿verdad? Y asegurarse de que realmente tienes medidas de rendimiento y marcas de referencia es importante. Joseph: Um, así que tienes que definir claramente las medidas de rendimiento para que puedas evaluar realmente el rendimiento del tercero y luego esto es crítico en torno a los acuerdos de nivel de servicio entre el banco y el tercero, donde realmente tienes que ser capaz de mostrarles que estas son las medidas y las expectativas que tenemos para ambas partes y luego tenemos que ser capaces de demostrar de forma tangible que estamos incluyendo el rendimiento de conformidad con las políticas y procedimientos, el cumplimiento de las leyes aplicables, y todo esto fluye a través de ese proceso. Joseph: Más tarde, cuando se llega a la supervisión continua, todo esto entonces se realizará. Pero si no se piensa en ello y no se incluye en el contrato, va a ser difícil obtener el nivel adecuado de cumplimiento por parte de terceros. Joseph: Así que, de nuevo, es importante tener en cuenta las disposiciones contractuales que especifican que la obligación del tercero es lo que usted necesita que hagan, cuando usted necesita que lo hagan, cómo necesita que le informen, y luego qué derechos tiene usted como banco para entrar y, ya sabe, supervisar su riesgo, supervisar su rendimiento, y hacer frente a las cosas que tienen que ser capaces de proporcionarle en términos de informes, en términos de datos, en términos de acceso. Joseph: Uh, ya sabes, todas las cosas que vas a necesitar para tener un programa exitoso. Si usted no los inculca en su contrato, va a ser muy difícil para usted ser capaz de hacer ese tipo de cosas. Y cuando los reguladores vengan y lo vean, van a decir Bueno, esto es interesante.
Joseph: Me estás diciendo que lo estás haciendo, pero no puedes mostrarme cómo lo estás haciendo realmente si no tienes una disposición de auditoría como ejemplo dentro de tu contrato. Por lo tanto, es muy importante para ayudar, ya sabes, asegúrate de que estás supervisando este rendimiento, que lo estás poniendo por escrito, que también estás incluyendo disposiciones para auditorías independientes que puedes tener allí o si tienen subcontratistas que tienes la capacidad de ir y echar un vistazo a lo que están haciendo. Joseph: Por lo tanto, a medida que avanza a través de todo esto. Esto es realmente, ya sabes, una gran cantidad de información que es que va allí. Lo he resumido en estos puntos, pero detrás de cada uno de estos puntos, de nuevo, hay páginas y páginas dentro de la regulación real. Joseph: Uh, ya sabes, y y y esencialmente, ya sabes, donde en realidad hay que ir y entender, ya sabes, cuando nos fijamos en el costo y la compensación, ¿verdad? Usted sabe, los contratos que describen claramente todos los costos y acuerdos de compensación compuesta ayudan a reducir los malentendidos y disputas sobre los edificios. y ayudar a garantizar que todos los acuerdos de compensación son coherentes con las prácticas bancarias sanas y las leyes aplicables. ¿Verdad? Joseph: Así que podemos seguir y seguir en términos de lo que quieren que pienses, pero es importante que mires esto como una guía rápida y digas: "Vale, ¿mis plantillas maestras de contrato abordan esto?". Y si la respuesta es no, probablemente necesites tener una conversación sobre lo que vas a hacer. Joseph: Pero, de nuevo, no lo mires sólo desde una perspectiva superficial. Tienes que profundizar y entender, ya sabes, cuáles son las directrices que están poniendo en marcha porque esa es la expectativa mínima que tienen en relación con lo que quieren que pienses. Joseph: Y usted sabe, es realmente importante que estas disposiciones son realmente sólidos y son uh otra vez que van a echar un vistazo a lo que fue su acuerdo maestro y luego lo que fue el acuerdo real ejecutado.
Joseph: Así que quieren echar un vistazo a sí me dices que tenías um sabes una disposición de subcontratación en allí, pero cuando miro el acuerdo ejecutado que en realidad fue negociado de distancia. De acuerdo. Joseph: Así que de nuevo, esto es esto es un deporte de equipo. No es sólo el tercero que incumbe al equipo de gestión de riesgos de terceros. No sólo incumbe a la empresa, no sólo a la organización de adquisiciones o al departamento jurídico. Hay muchos actores que tienen que ocuparse de esto para asegurarse de que lo que estamos haciendo es asegurarnos de que estas disposiciones contractuales se cumplen y se incluyen en los contratos, y de que somos capaces de demostrarlo. Joseph: Uh como a medida que avanzamos, un área clave que van a estar buscando y lo han hecho durante muchos años. Yo solía dirigir uh seguros corporativos es un área que realmente quieren echar un vistazo, ¿verdad? Y quieren entender, ya sabes, cuáles son los requisitos que estás transmitiendo a tus terceros para mantener los tipos y cantidades especificados de seguro, ¿verdad? Joseph: Y también quieren asegurarse de que, ya sabes, que ya sabes, ¿estás siendo nombrado como un asegurado adicional? Y si no lo estás, vale, ¿por qué no, verdad? Así que tienes que pensar que no se trata sólo de tener un alto nivel de revisión, sino de cómo ponerlo en práctica para que seas capaz de llegar hasta allí, y sabes que un área en particular en la que van a estar muy centrados es en la subcontratación, porque quieren entender lo que estás transfiriendo a esas otras organizaciones, porque hay un montón de trabajo que tiene que continuar. Joseph: Uh por el bien del tiempo vamos a saltar a la siguiente diapositiva por favor. De acuerdo. Así que ya sabes lo que las agencias están tratando de hacer aquí es que no están fomentando un enfoque específico para la supervisión continua, sino más bien la orientación está tratando de hacer que los bancos piensen en la supervisión continua como cualquier otro proceso de gestión de riesgos de terceros. Joseph: Entonces, quieren que pienses en cómo esto se relaciona con tu programa y la complejidad de tu organización y el perfil de riesgo de tu organización, ¿verdad?
Joseph: Y al hacer esto, quieren que estés pensando en que el monitoreo continuo puede llevarse a cabo de forma periódica o continua. No están diciendo ni lo uno ni lo otro. o han visto que se puede hacer de las dos formas y que una supervisión más uh exhaustiva o frecuente es apropiada cuando la relación con terceros respalda actividades de mayor riesgo. Joseph: Así que, de nuevo, tienes que tener una metodología para que puedas desentrañar cuál es la criticidad real de la actividad y luego cuál es la criticidad del proveedor para que sepas que tu monitorización continua se va a basar básicamente en ese nivel de riesgo porque, de nuevo, si tienes algo crítico probablemente vas a tener una visión mucho más profunda en términos de lo que quieres gestionar desde una perspectiva de monitorización continua. Joseph: Si se trata de un elemento de bajo riesgo, va a haber, ya sabes, diferencias variables y te están dando esa latitud para asegurarse de que, ya sabes, si realmente tienes el nivel adecuado de metodología y si tienes un apetito de riesgo declarado, quieren asegurarse de que todo lo que está por encima de tu apetito de riesgo está siendo supervisado de manera significativamente diferente a todo lo que está dentro del apetito de riesgo o por debajo de él. Joseph: Así que, si pudiéramos ir a la siguiente diapositiva, por favor. Esto es sólo una especie de continuación de la supervisión continua. Y de nuevo, cuando usted está mirando esto, esto es sólo lo que le dice lo que son lo que ellos creen que usted debe estar pensando a medida que avanza a través de esto. Joseph: Y de nuevo, la guía establece que las organizaciones bancarias, ya sabes, pueden considerar acuerdos de colaboración o el uso de partes externas para ayudar a complementar la supervisión continua. Por lo tanto, esto es algo nuevo en términos del hecho de que en realidad se puede utilizar un tercero para ayudarle a través de ese proceso. Pero, de nuevo, tienes que asegurarte de que ese tercero está realmente a la altura de las normas que tienes. ¿Correcto?
Joseph: Porque cuando se mira qué es lo que el seguimiento continuo permite hacer al banco, hay que mirar tanto el nivel como los tipos de riesgos porque pueden cambiar a lo largo de la vida de la relación y puede que haya que adaptar las prácticas de seguimiento continuo en consecuencia. Joseph: Así que puede que haya cambios en la frecuencia o en el tipo de información o en el nivel de supervisión que está haciendo en función de la naturaleza de la evolución de esa relación con terceros que tiene. Y si pasamos a la siguiente diapositiva, por favor. Joseph: Así que usted puede comenzar a ver algo de la uh uh complejidad del riesgo y y lo que están tratando de tipo de unidad allí, ¿verdad? Y así que ya sabes, cuando estás empezando a tipo de mirar a las revisiones en cuanto a lo que está sucediendo, quieren que seas capaz de ganar realmente algunas eficiencias, pero también están queriendo asegurarse de que lo que estás haciendo es uh siguiendo un proceso que es lo que realmente va a ayudar uh asegurar que estás en cumplimiento, ¿verdad? Así que son ellos están exponiendo aquí de manera muy eficaz. Joseph: Cambios en la condición financiera del tercero, incluyendo las obligaciones financieras con otros. Una vez más, usted puede probar que con su con su evaluación del riesgo de viabilidad financiera. Uh si lo haces de forma periódica, simplemente no lo hagas al principio cuando lo estás haciendo en la fase de diligencia debida. Usted necesita tener que de forma continua, ¿verdad? Joseph: O auditorías pertinentes, resultados de pruebas y otros informes que aborden si el tercero sigue siendo capaz de gestionar los riesgos y cumplir con las obligaciones contractuales y los requisitos reglamentarios. ¿Verdad? Así que tienes que pensar en cómo demostrar realmente al regulador, demostrar a la junta lo que estás tratando de hacer, porque este cumplimiento es realmente importante. Joseph: Y de nuevo, lo están exponiendo no de una manera prescriptiva, sino de una manera general que tiene sentido lógico. Y luego depende de usted tomar eso dentro de su programa y traducirlo en acciones y actividades e informes con el fin de ser capaz de mostrar y de nuevo se reduce al nivel de complejidad que tiene.
Joseph: Todo se reduce a cuáles son los factores que vas a tener en cuenta al hacerlo. Vamos a la siguiente diapositiva por favor. Joseph: Así que ya sabes de nuevo todo esto es sólo una continuación de lo que estaba hablando y ya sabes asegurarte de que tienes el nivel adecuado de formación ya sabes si lo que estás diciendo es la formación impartida a los empleados de la organización bancaria y de la tercera parte. Bueno, ¿cómo lo demuestras? ¿Puedes mostrarme que realmente está sucediendo? ¿Verdad? Joseph: Ya sabes, de nuevo, ¿tienes disposiciones de no divulgación? ¿Tiene flujos que están sucediendo con ese tercero? ¿Correcto? Ya sabes, lo que sucede con la respuesta del tercero a los incidentes, ya sabes, o la continuidad del negocio, ya sabes, esto es muy importante porque cualquier cosa que va a crear un peligro para las operaciones de su organización tiene que ser, no puedes decir, bueno, ya sabes, pensamos que tenían un plan de continuidad de negocio, pero en realidad nunca lo probamos. Joseph: Bueno, ya sabes, en mi carrera, he visto retroceder muchos, muchos años, he visto donde tenías hermosos planes de continuidad del negocio, pero en realidad no tenían nada detrás de ellos. Eran grandes powerpoints en su momento, pero cuando llegaban las inundaciones, cuando ocurrían los terremotos, los terceros te dejaban colgado porque no tenían realmente el nivel de planes y detalles que fueran realmente procesables. Joseph: Y es por eso que tener estos inculcados por escrito, ir y supervisarlos de forma regular, ir al lugar y asegurarse de que los tienes es realmente importante. Joseph: Así que, a medida que continuemos con la siguiente diapositiva, empezarás a ver que, ya sabes, dado el enfoque de principios generales que tiene la guía, las agencias no han revisado la guía para abordar temas específicos o tipos de relaciones. Vale, es importante tenerlo en cuenta. Joseph: Así que, así que ya existen orientaciones separadas sobre ciertos temas o relaciones, cierto, en otras directrices. Y estos uh tipos de cuestiones específicas de orientación son uh a menos que expresamente rescindido no se verán afectados por esta nueva orientación.
Joseph: Así que si tienen algo por ahí en relación con lo que está pasando con la seguridad cibernética que se refiere a que no está inculcado aquí esas cosas son todavía están todavía allí. Así que de nuevo estos son sólo mirando lo que usted necesita estar pensando desde una perspectiva de monitoreo en curso. Joseph: Ahora que llegamos a la quinta parte en la siguiente diapositiva del ciclo de vida. Es la terminación, ¿verdad? Y sabes, siempre me gusta pensar en ello. Es la terminación o la renovación de la terminación, ¿verdad? Joseph: Así que, así que, um sabes, un banco puede terminar una relación por varias razones. Usted sabe, usted podría haber llegado al final natural y usted tiene la expiración del contrato. Podría haber un incumplimiento de contrato. Puede que el tercero no cumpla con las leyes o reglamentos aplicables o, ya sabes, o puede que quieras encontrar un proveedor diferente por la razón que sea. O puede que realmente desee traer esa actividad en la casa o en algunos casos interrumpir esa actividad. ¿No es así? Joseph: Así que, cuando esto ocurre, es importante que la dirección de la organización ponga fin a las relaciones de manera eficiente y eficaz, tanto si las actividades se transfieren a un tercero como si se internalizan o interrumpen. Tienes que pensar en todo esto y es por eso que han establecido cuáles son los costos y honorarios asociados con la terminación. Así que tienes que pensar en estas cosas en la fase del contrato, pero en última instancia se van a ejecutar en la fase de terminación. Joseph: Y es muy importante que pensemos en eso. Pasemos a la siguiente diapositiva, por favor. Y sé que nos estamos quedando sin tiempo. Así que ya sabes, vamos a un alto nivel. Y de nuevo, vamos a hacer una inmersión más profunda en un par de semanas en esto en un nivel más de doubleclick, pero ahora queremos recomendar algunas de las mejores prácticas que las industrias de las organizaciones pueden seguir, ¿verdad?
Joseph: Y cuando se piensa en esto, ya sabes, hay varias mejores prácticas que las organizaciones en todas las industrias pueden seguir en relación con la gestión de riesgos de terceros, ¿verdad? Joseph: Y así, ya sabes, una de ellas es en realidad, ya sabes, saber quiénes son tus terceros, ¿verdad? Tienes que saber que tienes que priorizar quiénes son tus proveedores, ¿verdad? Tienes que asegurarte de que controlas a tus proveedores de forma continua y, ¿cómo lo haces? Joseph: Necesitas automatizar tus procesos, ¿verdad? Y así, independientemente de cómo la organización bancaria estructure el proceso, ya sabes, estas prácticas de las que estoy hablando son omnipresentes y necesitan ser pensadas a través de la supervisión y la rendición de cuentas, revisiones independientes, documentación e informes. Joseph: Y que eso que entonces tipo de nos allay en lo que es que estamos que estamos que estamos pensando, ¿verdad? Y así hay varias maneras que uh las organizaciones pueden realmente uh hacer esto con su uh con su proceso. Joseph: Así que ya sabes, la responsabilidad recae en la línea de negocio y ya sabes desde una perspectiva de primera línea de defensa pero la organización bancaria ya sabes lo que he visto donde los bancos han centralizado este proceso y a veces es en cumplimiento a veces es para seguridad de la información a veces es en compras a veces es en otras funciones de riesgo pero de nuevo tener ese programa maduro tener ese programa realmente establecido y tener ese programa para que sea auditable es realmente importante para nosotros pensar en ello. Joseph: Y así, um, si vamos a la siguiente diapositiva, esto comienza en la junta, ¿verdad? Y al final del día, la junta es responsable de establecer cómo va a ser esa visión, ¿verdad? Y así, así, así que las relaciones que tienen son realmente importantes para que pensemos, ¿verdad? Joseph: La supervisión y la rendición de cuentas adecuadas son aspectos importantes de cualquier programa, ya sea de gestión de riesgos de terceros o no, ¿verdad? Y así, el consejo de administración del banco tiene la responsabilidad última y lo que hace es pedir cuentas a la dirección. ¿Verdad?
Joseph: Así que la junta va a proporcionar una orientación clara y va a ayudarle a establecer cuál es el apetito de riesgo aceptable y va a aprobar las políticas y va a garantizar que se establezcan los procedimientos y prácticas adecuados. Joseph: Pero ya sabes, al final del día están mirando las cosas a un nivel lo suficientemente alto con suficiente nivel de independencia para ayudar a dirigir el barco hacia donde tiene que ir. Así que en el desempeño de sus responsabilidades, ya sabes, la junta o su comité designado, ya sabes, normalmente van a considerar muchos de estos factores que estás viendo allí. Joseph: Ya sabes, si la relación con terceros se gestiona de una manera que sea coherente con los objetivos o visiones estratégicas del banco, etc. Así, por lo que están estableciendo esta es nuestra visión y así es como hay que verlo. Joseph: Y si vas a la siguiente diapositiva, por favor, verás que luego la gestión en realidad tiene que ponerlo en práctica, ¿verdad? Y entonces, la gerencia realmente tiene que gobernar y supervisar la responsabilidad y es realmente importante para ellos ser y he enumerado estas cosas de nuevo, ustedes están recibiendo una copia de esto, no quiero ir a través de cada uno específicamente, pero es importante que tengas algo como un comité de gestión de riesgos de terceros, que sepas que estás integrando la gestión de riesgos de terceros en el proceso general de gestión de riesgos de la organización del banco, que estás proporcionando contratos con terceros, que son revisados apropiadamente y aprobados y ejecutados, por lo que no es sólo alguien firmando un pedazo de papel. Joseph: En realidad hay un pensamiento basado en el nivel de riesgo, basado en el tamaño del dólar, basado en la complejidad. Y así, lo que estás haciendo es, ya sabes, la dirección es responsable de crear este proceso para asegurarse de que funciona. Joseph: Um, y luego si vamos a ver la siguiente diapositiva, por favor, aquí es cuando se empieza a pensar en las revisiones independientes, ¿verdad? Y es importante para la organización bancaria llevar a cabo revisiones periódicas independientes para evaluar la idoneidad de sus procesos de gestión de terceros. Y usted sabe, esto es realmente donde el caucho encuentra el camino porque su tercera línea de defensa está entrando.
Joseph: Están echando un vistazo a cómo su organización está realmente estableciendo y cumpliendo con lo que usted sabe, ¿está haciendo lo que dice que va a hacer y lo está haciendo bien y lo está haciendo al nivel de sofisticación que no sólo va a cumplir con los requisitos mínimos, sino que realmente va a tener un programa que realmente va a ayudarle a reducir y comprender los riesgos que usted tiene. Joseph: Así que usted sabe que la dirección va a utilizar los resultados de estas revisiones independientes para determinar si y cómo ajustar su proceso y programa de gestión de riesgos de terceros. Ya sabes, ¿necesitamos hacer cambios en nuestras políticas? ¿Qué pasa con nuestros informes? ¿Tenemos el nivel adecuado de recursos con el nivel adecuado de experiencia? ¿Tenemos el nivel adecuado de controles? Joseph: Es importante que la dirección responda rápida y minuciosamente a cualquier problema o preocupación que se identifique y que los eleve al consejo según proceda. Así que, de nuevo, hay muchos detalles detrás de esto, pero quería asegurarme de que estaba llamando la atención para que pensáramos en ello. Joseph: Y, por cierto, esto va a través de la industria. Esto no es sólo para los bancos. Ya sabes, esto es esto es una buena práctica. Y luego si vamos a la siguiente diapositiva, ya sabes, pensamos en la documentación y presentación de informes, ¿verdad? Joseph: Hay un montón de cosas que están aquí, pero la documentación, la presentación de informes son realmente los elementos clave que ayudan, ya sabes, a aquellos dentro y fuera de una organización para llevar a cabo las actividades de control. Joseph: Así que, dependiendo del riesgo y la complejidad de las relaciones con terceros, vas a tener un montón de diferentes actividades que deben ocurrir. Así que cuando hablamos de uh inventario actual de todas las relaciones con terceros, bien sabes que eso realmente nos está ayudando a identificar claramente aquellas relaciones que están asociadas con actividades de mayor riesgo, incluyendo actividades críticas.
Joseph: Así que si usted no tiene una manera de demostrar de manera tangible lo que su inventario es y que tiene que en ese inventario se ejecuta a continuación, en contra de su metodología con el fin de ser capaz de sacar a la luz, ya sabes, a través de su proceso de evaluación de riesgos si tiene o no algo que está por encima de su apetito de riesgo. Es probable que no termine bien para el grupo. Joseph: Um usted sabe también informar a la junta es importante derecho informes periódicos a la junta. Uh y esto es aplicable para cualquier dependencia que tengas de un solo proveedor. Si hay múltiples actividades con un proveedor que está teniendo problemas financieros. Joseph: Um usted sabe si alguno de sus pri uh proveedores han tenido como ejemplo um um ataques cibernéticos y ese tipo de cosas, ¿verdad? Así que es muy importante que pienses en cómo tienes el nivel adecuado de planes de remediación, ya sabes, quién es quién en el punto para los tipos de informes que están sucediendo, ya sabes, de terceros, etc. Joseph: Y um sabes, si echamos un vistazo a la siguiente diapositiva por favor. Así que realmente usted sabe que cada agencia revisará la gestión de riesgos de sus organizaciones bancarias supervisadas y las relaciones con terceros como parte de su proceso estándar, ¿verdad? Joseph: Así que las revisiones de supervisión evaluarán los riesgos y la eficacia de su gestión de riesgos. gestión uh y determinar si sus actividades se llevan a cabo de una manera segura y sólida y son realmente a la altura de las leyes o reglamentos aplicables que tienen. Joseph: Así que sus evaluaciones um realmente van a estar considerando usted sabe lo que está haciendo en la contratación de un conjunto diverso de terceros usted sabe porque no todas las relaciones con terceros presentan los mismos riesgos y si realmente entiende cómo adaptar sus prácticas a los riesgos que se presentan y si realmente tiene un programa que usted sabe que es tangible, medible y repetible. ¿Verdad? Joseph: Así que, um ya sabes, sé que nos estamos quedando sin tiempo. Vamos a saltar a la siguiente diapositiva, por favor. ¿Pueden escucharme?
Joseph: Yeah, we can hear you, Joe. Joseph: Good. Good. Yeah. So, uh you know, one of the things that I think that we should think about is um As you’re looking into reviewing your your risk management processes and and and and you’re evaluating them, you need to make sure that everything you’re doing is helping to not just fulfill the obligation for how you’re managing on behalf of your company, but also on behalf of your client, right? Joseph: And how are you actually designing your process to protect your customers and to provide fair, you know, access to your your financial services. So, it’s not just about being prescriptive. It’s about actually how does this actually enable you to make money? How does this enable you to have a better customer experience? Joseph: I I know that we’re running short on time. Uh why don’t we jump to the next slide, please? So, you know, I wanted you to kind of think about some of the best practices that that that people need to be thinking about. And one one of those is, you know, how do you actually put the right level of framework in place? Joseph: So, where you have the right oversight and governance, you have the tools and controls, and you have the analytics and actionable reporting, right? How do you kind of lay that out in order for it to be to be appropriate? Joseph: I do want to get to some question. So, why don’t we jump to the next slide? This here is really kind of talking about the three lines of defense. If you’ve been in banking for more than a day, you’re probably aware of this, but let’s go ahead and um and I put this in here because I think it’s important for us to be thinking about that framework. We’ll do more of a deeper dive in our next session. Next slide. Joseph: This here is just kind of some recommended best practices uh that organizations in all industries can follow around kind of look here’s here’s a high level operating framework. Here are kind of the the the risks that we’re looking at. Here are the objectives and then you know here’s a third party risk assessment and here’s the engagements in that risk assessment and how we actually can kind of drive through that. Joseph: And if we could go to the next slide please and this right here is just kind of leveraging the foundation in order for us to actually think about that. And that second point I put a box around it is you know segmentation and onboarding is critical right because the classification of who your partners are and how you’re actually putting that methodology in place is really going to be foundational to how you’re actually going to be able to do the management and oversight across that entire life cycle. Joseph: Uh, next slide. So, we got to be thinking beyond just the regulatory requirements because it’s this isn’t the check the box exercise, right? Joseph: So, so you know, you need to think about how do you protect your organization’s knowledge and expertise. You know, you know, have you created any dependencies with a third party that now is becoming an issue for you if something happens to that third party, right? Joseph: You know, is the quality of your service consistent end to end with your third parties, right? And have you evaluated the total cost? You know, are there any additional or hidden costs that you need to be thinking about because there’s what you’ve put in contractually and what you’ve agreed to, but then as you start to come back and you’re starting to to to put your program in place, you’re going to see that your suppliers are going to push back on that. Joseph: And then did you take into consideration the increase in operational risks, right? Because all all of that is is just like really important for us to be thinking about because um If we don’t think about it outside of the regulator regulatory requirement, if we don’t think about that in terms of how do we actually put a program together, what we end up doing is we end up increasing our risk. We we fail in terms of our compliance to the guidelines and and basically this will impact our earnings per share and this will impact our reputational uh reputation in the industry. Joseph: So why don’t we take some qu go to the next slide. Let’s get some questions and answers. I know I went kind of fast through a number of these slides. We wanted to take a second session where we’re going to do more of a deep dive, but there were there was a tremendous amount that I wanted to kind of cover through, make sure that you guys had the ability to see because it’s really important for us to be thinking about this. Joseph: Uh because these new guidelines just came out and so as you know, once the guidelines come out, that’s in in in a short period of time, they’re going to start coming out and starting to see how you’re addressing the program to the new guidelines. So, uh with that, do we have any questions? Ashley: Hey, thanks Joseph. Uh Scott, do you have any closing thoughts on this? I’m sorry, guys. I know we didn’t really have any time for questions, but uh Joseph will be doing a part two in an upcoming webinar, and we’ll be able to address some more of this information there. Scott,
Scott: uh no, nada más para mí. Podemos seguir adelante. Muy bien. Bueno, muchas gracias por asistir. Espero que tengan un gran resto de su día y un gran próximo fin de semana y espero verlos en el próximo seminario web. Salud.
©2026 Mitratech, Inc. Todos los derechos reservados.
©2026 Mitratech, Inc. Todos los derechos reservados.