La resiliencia operativa —la capacidad de las instituciones financieras para seguir siendo eficaces a pesar del impacto de las interrupciones en la actividad— ha marcado los planes de los altos directivos de los servicios financieros en el Reino Unido durante más de tres años.
Las regulaciones de la Autoridad Reguladora Prudencial (PRA) del Reino Unido en esta área, SS1/21 y SS2/21, entrarán en vigor en marzo de 2022. La influencia de estas regulaciones abarca a las propias instituciones y a los terceros a los que recurren para prestar sus servicios. Se están elaborando planes para ampliar las disposiciones de resiliencia operativa a la creación de un registro de incidentes, los propios acuerdos con terceros e, incluso, posiblemente intentar regular también a los proveedores externos más importantes.
La PRA sigue desarrollando el marco de resiliencia operativa y recientemente ha publicado un documento de consulta en el que se analiza la mejor manera de incorporar a las sociedades holding al régimen.
Actualmente, los requisitos de resiliencia operativa se centran en las empresas individuales y su capacidad para soportar interrupciones en su actividad. La PRA pretende elevar su nivel de escrutinio para evaluar el impacto de una interrupción en las sociedades holding. Las sociedades holding son empresas que mantienen la propiedad de otras empresas por diversos motivos operativos, legales y comerciales.
La ampliación de la resiliencia operativa para abarcar a las sociedades de cartera pone de relieve dos cuestiones.
En primer lugar, ¿qué ocurre si una empresa, ya sujeta al marco de resiliencia operativa, pasa a depender —posiblemente en situaciones extremas— del apoyo de su sociedad matriz para mantener su continuidad operativa? El documento de consulta sugiere que la PRA deberá comprender y comprobar que los acuerdos para proporcionar este apoyo son exhaustivos y coherentes con los principios generales de resiliencia operativa.
Otra cuestión se centra en el riesgo de concentración. Cuando las sociedades holding tienen inversiones en múltiples instituciones cubiertas por la resiliencia operativa, puede surgir rápidamente una situación en la que dos o más empresas recurran al mismo conjunto de recursos financieros para hacer frente a una interrupción. La PRA querrá asegurarse de que se disponga de recursos suficientes para que todas las empresas pertinentes que forman parte de la sociedad holding puedan recibir todo el apoyo necesario.
Según el documento de consulta, la PRA considera que sería pragmático gestionar las sociedades holding sujetas a sus requisitos. Una sociedad holding que solo tenga una institución afectada recibiría un trato diferente al de una en la que todas las entidades que posee se vean afectadas por la resiliencia operativa.
¿Cómo podría funcionar esto en la práctica?
Eso depende de la naturaleza de la sociedad holding y del grado en que las empresas que posee dependan de ella para funcionar eficazmente.
Cuando una sociedad de cartera es un acuerdo administrativo, diseñado para abordar cuestiones legales, de información o de propiedad, con un impacto limitado en las operaciones de sus filiales, la colaboración con la PRA probablemente será una tarea bastante limitada.
La situación se complica cuando la sociedad holding es un vehículo destinado a facilitar acuerdos más sofisticados en materia de fiscalidad, inversión, propiedad o fusiones y adquisiciones. En este caso, las obligaciones entre las sociedades holding y sus filiales se vuelven mucho más complejas. Es probable que la PRA exija visibilidad de los sistemas, procesos y recursos utilizados para supervisar estos acuerdos y garantizar que los requisitos de resiliencia operativa se apliquen de manera coherente, independientemente de los cambios que se produzcan en las empresas.
El uso extensivo de hojas de cálculo: aunque son potentes y flexibles, carecen de los controles esenciales para ofrecer los resultados transparentes y auditables que necesitan las empresas.
El reto para las sociedades holding es que su valor reside en sus estructuras financieras y jurídicas, más que en su experiencia operativa. Por lo general, no se trata de operaciones de gran envergadura ni sofisticadas, con una plantilla numerosa. Aunque es probable que algunos sistemas y procesos estén automatizados, muchos de ellos serán manuales y es probable que se utilicen hojas de cálculo de forma extensiva.
Aunque son potentes y flexibles, las hojas de cálculo carecen de los controles esenciales para ofrecer los resultados transparentes y auditables que las empresas necesitan mostrar a los reguladores. Este proceso se agrava cuando una empresa recurre a un tercero para que le proporcione la infraestructura y las capacidades básicas. En ambos casos, la PRA esperará que las empresas puedan demostrar estas capacidades en virtud de la disposición sobre resiliencia operativa.
¿Cuál es la mejor manera de hacerlo?
Las capacidades de gestión de riesgos de hojas de cálculo permiten a las empresas aplicar controles de nivel empresarial a sus hojas de cálculo más críticas. Estas capacidades permiten a los bancos supervisar de forma proactiva estas hojas de cálculo para identificar problemas (por ejemplo, datos que faltan, enlaces rotos o errores en las fórmulas) que pueden afectar a la resiliencia operativa de una empresa.
Un inventario de hojas de cálculo proporciona una base para centralizar la gestión, la revisión y la visibilidad de las hojas de cálculo críticas que se utilizan en la empresa. También proporciona un repositorio para la documentación esencial para definir y controlar las hojas de cálculo principales que se utilizan en una empresa.
Las potentes funciones de detección de hojas de cálculo ayudan a identificar las hojas de cálculo clave que deben supervisarse de forma proactiva para poder detectar, solucionar y notificar los problemas.
Las capacidades de gestión de riesgos de terceros (TPRM) ayudan a las organizaciones a gestionar de forma proactiva cadenas de suministro complejas y profundas, de modo que los problemas relacionados con la resiliencia de una parte de la cadena no se conviertan en un problema de resiliencia importante para el cliente principal. Las potentes capacidades basadas en SaaS ofrecen un enfoque descentralizado pero sólido para gestionar a los proveedores en los niveles tercero, cuarto y quinto de la cadena de suministro. Para ello, se necesitaría un repositorio centralizado que contuviera los contratos pertinentes, la documentación estándar de las políticas y los perfiles de riesgo de los distintos proveedores. Los gestores pueden supervisar de forma proactiva los distintos elementos de la cadena de suministro, de modo que puedan responder rápidamente si surgen problemas en cualquier nivel antes de que un problema menor se convierta en algo más grave.
La plataforma GRC de Mitratech ofrece potentes funciones que ayudan a las instituciones financieras de todo el mundo a mejorar su TPRM y su gestión de riesgos en hojas de cálculo. De rápida implementación, resuelven sus problemas rápidamente y aportan valor con rapidez.
