A pesar de los ocasionales problemas operativos, los bancos europeos, al igual que sus homólogos de Asia, Estados Unidos y el Reino Unido, gozan en general de una buena salud financiera que les permite capear las tormentas económicas que sacuden actualmente al mundo. Así lo refleja la reciente Evaluación Anual de Riesgos publicada por la Autoridad Bancaria Europea (EBA).
Las regulaciones de la Autoridad Reguladora Prudencial (PRA) del Reino Unido en esta área, SS1/21 y SS2/21, entrarán en vigor en marzo de 2022. La influencia de estas regulaciones abarca a las propias instituciones y a los terceros a los que recurren para prestar sus servicios. Se están elaborando planes para ampliar las disposiciones de resiliencia operativa a la creación de un registro de incidentes, los propios acuerdos con terceros e, incluso, posiblemente intentar regular también a los proveedores externos más importantes.
Aunque siguen existiendo retos —entre los que cabe destacar los tipos de interés bajos, el lento crecimiento económico combinado con las presiones inflacionistas y el impacto del Brexit en el sistema bancario europeo—, la encuesta muestra que los bancos de la UE tienen balances sólidos. Cuentan con buenas reservas de liquidez y están contribuyendo de manera esencial al crecimiento de los países de la UE.
No obstante, ese panorama positivo oculta varios retos a los que se enfrentan los bancos en la UE. Aunque la economía de la UE se está recuperando bien del impacto de los dos últimos años, la persistencia de la pandemia puede provocar futuras crisis económicas. Del mismo modo, la participación continuada de las entidades de contrapartida central (ECC) con sede en el Reino Unido en la compensación de las operaciones con derivados realizadas en la UE se considera cada vez más arriesgada tras el Brexit. La ABE también ha destacado la resiliencia operativa como una cuestión esencial para los bancos de toda la UE.
La importancia del enfoque de la EBA en la resiliencia operativa
El énfasis de la EBA en la resiliencia operativa es significativo y refleja la mayor atención que prestan a este ámbito los reguladores de todo el mundo. En parte, este énfasis se hace eco de los esfuerzos que los gobiernos, los reguladores y los contribuyentes han realizado para apoyar al sector de los servicios financieros tras la crisis financiera. Tras haber gastado miles de millones en ayudar a diversas instituciones, los reguladores se muestran muy reacios a afrontar nuevos retos que surjan en el mismo sector.
Otro factor impulsor es la naturaleza cambiante de los propios servicios financieros. Los bajos tipos de interés están llevando a las instituciones a ofrecer nuevos productos y servicios que utilizan capacidades digitales capaces de ofrecer nuevas vías de acceso a mercados con nuevos públicos. Al mismo tiempo, las constantes presiones sobre los costes obligan a los bancos a ampliar la escala y el alcance de su base de suministro y sus asociaciones, de manera que se favorezca el desarrollo empresarial.
Si se tiene en cuenta el uso cada vez más extendido del teletrabajo, con sus complejidades operativas y de seguridad, es fácil comprender por qué la ABE analiza con cierto detalle la resiliencia operativa en su informe.
Hay varias áreas en las que se centra la ABE en el informe.
El riesgo cibernético es una fuente importante de riesgo operativo potencial y una amenaza para la resiliencia, debido a la creciente digitalización de los servicios bancarios básicos. El trabajo híbrido ha acelerado aún más este proceso. Dicho esto, los bancos son muy conscientes de las amenazas a las que se enfrentan ellos y sus clientes, y han realizado importantes inversiones en sus sistemas y procesos para contrarrestar las crecientes amenazas cibernéticas, y seguirán haciéndolo.
El riesgo de terceros también supone un riesgo significativo para los bancos de la UE y refleja el cambio en la forma en que obtienen y prestan sus servicios a nivel mundial.
Históricamente, los bancos se han encargado principalmente de proporcionar y prestar sus servicios básicos, mientras que externalizaban servicios periféricos como la gestión de nóminas o de instalaciones. Ahora que se han abordado las preocupaciones sobre la seguridad de los sistemas informáticos basados en la nube, los bancos han realizado importantes inversiones en la potencia, flexibilidad y escalabilidad que ofrece la computación en la nube.
Es evidente que esto introduce complejidad en las operaciones de los bancos, ya que significa que un pequeño grupo de proveedores clave de servicios en la nube son fundamentales para las operaciones comerciales y técnicas de los bancos. Para un banco, esto significa que los problemas de un proveedor de servicios en la nube se convierten, en cierto modo, en problemas del banco. En segundo lugar, el reducido número de proveedores de servicios en la nube y la adopción generalizada de sus servicios crean un riesgo de concentración, tanto para los bancos individuales como para el sector bancario en general.
Esta situación se ve agravada por el uso que hacen los bancos de proveedores externos de tecnología, aplicaciones y datos, que también utilizan el mismo reducido número de proveedores de servicios en la nube. Esto puede significar que un banco tenga una cadena de suministro cada vez más compleja, en un momento en el que los reguladores de todo el mundo están presionando para que haya más visibilidad y se mejoren los controles de gestión de las cadenas de suministro en la banca.
Las prácticas de trabajo remoto también suponen un reto para la resiliencia operativa. Muchas instituciones siguen utilizando procesos manuales para respaldar los procesos empresariales básicos, y las hojas de cálculo de Excel suelen ser la herramienta más utilizada. Aunque siempre han sido populares, en los últimos dos años su importancia ha aumentado aún más, ya que las hojas de cálculo han ayudado a muchos equipos a trabajar a distancia. La potencia y la flexibilidad de las hojas de cálculo permiten a los usuarios crear sus propias aplicaciones de informática para usuarios finales (EUC) que quedan fuera del control y la influencia de la función de TI de la empresa. Sin embargo, estas aplicaciones carecen de los controles que proporcionan la auditabilidad y la transparencia que cumplen las expectativas de la EBA en materia de resiliencia operativa, ya que la falta de datos y los errores de cálculo pueden tener un impacto significativo en el negocio.
¿Cómo pueden las instituciones responder mejor a estos acontecimientos?
Dos iniciativas están demostrando su eficacia al trabajar con nuestros clientes y debatir los problemas con los profesionales del sector.
La gestión de riesgos de terceros (TPRM) está diseñada para ayudar a las organizaciones a gestionar de forma proactiva cadenas de suministro complejas y profundas, de modo que los problemas relacionados con la resiliencia de una parte de la misma no se conviertan en un problema de resiliencia importante para el cliente principal. Las potentes capacidades basadas en SaaS ofrecen un enfoque descentralizado pero sólido para gestionar a los proveedores en los niveles tercero, cuarto y quinto de la cadena de suministro. Para ello, se necesitaría un repositorio centralizado que contuviera los contratos pertinentes, la documentación estándar de las políticas y los perfiles de riesgo de los distintos proveedores. Los equipos de riesgo y cumplimiento pueden supervisar de forma proactiva los distintos elementos de la cadena de suministro, de modo que puedan responder rápidamente si surgen problemas en cualquier nivel antes de que un problema menor se convierta en algo más grave.
Otra iniciativa que están llevando a cabo los bancos es la gestión de riesgos de hojas de cálculo, que les permite aplicar controles de nivel empresarial a sus hojas de cálculo más críticas. Estas capacidades permiten a los bancos supervisar de forma proactiva estas hojas de cálculo para identificar problemas (por ejemplo, datos que faltan, enlaces rotos o errores en las fórmulas) que pueden afectar a la resiliencia operativa de un banco.
Un inventario de hojas de cálculo proporciona una base para centralizar la gestión, la revisión y la visibilidad de las hojas de cálculo críticas utilizadas en la empresa. También proporciona un repositorio para la documentación esencial necesaria para definir y controlar las hojas de cálculo básicas utilizadas en una empresa.
Las potentes funciones de detección de hojas de cálculo ayudan a identificar las hojas de cálculo clave que deben supervisarse de forma proactiva, de modo que se puedan detectar, solucionar y notificar los problemas.
La plataforma GRC de Mitratech ofrece potentes funciones que ayudan a las instituciones financieras de todo el mundo a mejorar sus capacidades de gestión de riesgos y a generar valor rápidamente.
¿Cuál es la mejor manera de hacerlo?
Las capacidades de gestión de riesgos de hojas de cálculo permiten a las empresas aplicar controles de nivel empresarial a sus hojas de cálculo más críticas. Estas capacidades permiten a los bancos supervisar de forma proactiva estas hojas de cálculo para identificar problemas (por ejemplo, datos que faltan, enlaces rotos o errores en las fórmulas) que pueden afectar a la resiliencia operativa de una empresa.
Un inventario de hojas de cálculo proporciona una base para centralizar la gestión, la revisión y la visibilidad de las hojas de cálculo críticas que se utilizan en la empresa. También proporciona un repositorio para la documentación esencial para definir y controlar las hojas de cálculo principales que se utilizan en una empresa.
Las potentes funciones de detección de hojas de cálculo ayudan a identificar las hojas de cálculo clave que deben supervisarse de forma proactiva para poder detectar, solucionar y notificar los problemas.
Las capacidades de gestión de riesgos de terceros (TPRM) ayudan a las organizaciones a gestionar de forma proactiva cadenas de suministro complejas y profundas, de modo que los problemas relacionados con la resiliencia de una parte de la cadena no se conviertan en un problema de resiliencia importante para el cliente principal. Las potentes capacidades basadas en SaaS ofrecen un enfoque descentralizado pero sólido para gestionar a los proveedores en los niveles tercero, cuarto y quinto de la cadena de suministro. Para ello, se necesitaría un repositorio centralizado que contuviera los contratos pertinentes, la documentación estándar de las políticas y los perfiles de riesgo de los distintos proveedores. Los gestores pueden supervisar de forma proactiva los distintos elementos de la cadena de suministro, de modo que puedan responder rápidamente si surgen problemas en cualquier nivel antes de que un problema menor se convierta en algo más grave.
La plataforma GRC de Mitratech ofrece potentes funciones que ayudan a las instituciones financieras de todo el mundo a mejorar su TPRM y su gestión de riesgos en hojas de cálculo. De rápida implementación, resuelven sus problemas rápidamente y aportan valor con rapidez.
Un vistazo a la plataforma GRC del futuro
Descubra cómo puede aprovechar una única plataforma SaaS para todos sus requisitos de GRC.
