A medida que nos acercamos al final del año, muchas mentes se centran en lo que podría suceder el año que viene, ya que el mundo (con suerte) por fin comienza a salir de la sombra de los retos de los últimos dos años.
Los principales reguladores de servicios financieros del Reino Unido —la Autoridad Reguladora Prudencial (PRA), la Autoridad de Conducta Financiera (FCA) y el Banco de Inglaterra— han dedicado las últimas semanas y meses a hacer lo mismo y recientemente han publicado su plan conjunto de iniciativas reguladoras para 2022.
En el pasado, se ha criticado que cada uno de los reguladores financieros del Reino Unido haya seguido su propio camino, anunciando sus planes e intenciones, sin tener apenas en cuenta lo que estaban planeando los demás reguladores. Esta situación hizo recaer la responsabilidad de comprender y sintetizar los distintos anuncios en los equipos de riesgo y cumplimiento de las instituciones financieras, que se vieron obligados a resolver todas las prioridades.
Los comentarios recibidos de las instituciones en los últimos años han animado a los reguladores a adoptar un enfoque más coordinado para mejorar las regulaciones y crear otras nuevas. Dado el flujo casi constante de anuncios en respuesta a los cambios en los mercados, la economía y la tecnología, este enfoque coordinado sigue siendo una novedad bienvenida tanto para los reguladores como para los regulados.
Cuestiones importantes, iniciativas e implicaciones
El último anuncio incluía una serie de cuestiones que abarcaban una amplia gama de temas de actualidad, entre ellos las inversiones ecológicas, las iniciativas ESG, la sustitución del LIBOR y muchos otros.
Una cuestión que sigue cobrando impulso es la resiliencia operativa. Este ha sido un tema recurrente durante los últimos tres años, y las primeras fechas de cumplimiento para las instituciones directamente afectadas serán en marzo de 2022. La resiliencia operativa se divide en dos partes: SS1/21, que se centra en los procesos internos de una institución, y SS2/21, que se centra en las relaciones con terceros y la externalización. El liderazgo del Reino Unido en este importante tema ha sido seguido en todo el mundo, incluyendo, de manera significativa, a los Estados Unidos.
No obstante, los reguladores no se duermen en los laureles. Buscan aprovechar los cimientos de la resiliencia operativa construidos durante los últimos tres años para ampliar sus principios, reconociendo los cambios que han experimentado los servicios financieros en la última década.
Una iniciativa es la posible introducción de un portal específico, gestionado por los reguladores, que recopile la magnitud, el alcance y los detalles de las relaciones con terceros que son fundamentales para los procesos empresariales de muchas instituciones. El resultado de un documento de consulta, previsto para el primer semestre de 2022, complementará la información recopilada en una revisión de cumplimiento rutinaria realizada por un regulador. Este documento de consulta recabará opiniones sobre cómo podría funcionar este enfoque, pero está claro que los reguladores querrán tener visibilidad de la cadena de suministro de las instituciones financieras.
Es evidente que una de las consecuencias de esta evolución es que las instituciones reguladas deberán contar con sistemas y procesos de gestión de riesgos de terceros (TPRM) excepcionalmente buenos para garantizar que se mantengan al menos un paso o dos por delante de su regulador cuando surjan problemas en la cadena de suministro.
Las directrices específicas ofrecidas por la OCC, que probablemente se harán eco de las directrices de la FDIC y la Reserva Federal, se centrarán en garantizar que los bancos supervisen adecuadamente sus relaciones significativas con terceros, incluidas sus asociaciones. Los bancos deberán demostrar qué relaciones son fundamentales para sus operaciones e identificar dónde existen riesgos de concentración que superan los límites de tolerancia al riesgo del banco.
Los bancos también deben evaluar el perfil de riesgo cibernético de su cadena de suministro externa y asegurarse de que sus proveedores críticos cuenten con medidas para protegerse a sí mismos y a sus clientes, los bancos.
¿Cómo mitigar los riesgos? Con soluciones TPRM.
Otra iniciativa destacada en la agenda para 2022 es un documento de consulta sobre la mejor manera de gestionar un registro de incidentes de terceros, de modo que los reguladores puedan garantizar una mayor visibilidad de los problemas de terceros y su impacto en las instituciones y el sector.
Aunque todavía se encuentra en fase consultiva, esto pone claramente de manifiesto el deseo de los reguladores de involucrarse en los detalles de cómo las instituciones dependen de las relaciones con terceros y el impacto de los problemas cuando se producen. También quieren un sistema de alerta temprana para comprender si un problema podría afectar a otros, creando un riesgo sistémico. Es probable que la cuestión del riesgo de concentración también esté detrás de este interés.
Las instituciones reguladas deberán contar con sistemas y procesos de gestión de riesgos de terceros (TPRM) excepcionalmente buenos para garantizar que se mantengan al menos un paso o dos por delante de su regulador cuando surjan problemas en la cadena de suministro.
También habrá un documento de debate, publicado conjuntamente por todos los reguladores del Reino Unido, para discutir la mejor manera de regular a los terceros críticos (CTP) que prestan servicios a empresas reguladas. Será interesante ver qué áreas abarca, pero es razonable suponer que los proveedores de tecnología, los proveedores de datos y, potencialmente, incluso los proveedores de aplicaciones estarán sujetos al mismo nivel de escrutinio que las propias instituciones, al menos en parte.
Todo esto sirve para poner de relieve los comentarios que hemos recibido en nuestras conversaciones con los clientes, según los cuales la gestión de riesgos de terceros (TPRM) está cobrando cada vez más importancia en muchos ámbitos, ya que las empresas siguen centrándose en sus actividades principales y externalizando muchas otras. Esta evolución, junto con el trabajo híbrido, aumenta la flexibilidad operativa, pero también el riesgo operativo. Prevemos que la demanda desoluciones sólidas que ayuden a identificar y abordar estos riesgos operativos seguirá creciendo en 2022 y 2023.
Mitratech ofrece una gama de soluciones TPRM potentes, probadas y robustas que se implementan rápidamente y aportan valor. Más información aquí.
Defiéndase contra los riesgos de proveedores y empresas
Conozca nuestras soluciones VRM/ERM, las mejores de su categoría.
