Prepare su programa TPRM para la guía interinstitucional

Ashley: Eh, tampoco podemos olvidarnos de las presentaciones. Me llamo Ashley. Trabajo en el departamento de desarrollo empresarial de Prevalent. Y hoy nos acompañan unos invitados muy especiales. Eh, el director de privacidad jubilado, Joseph Martínez. Hola, Joseph. Joseph: Adquisiciones. Ashley: Ah, adquisiciones. Lo siento mucho. Eh, director de compras. Y nuestro vicepresidente de marketing de productos, Scott Lang. Hola, Scott. Scott: Hola, Ashley. Ashley: Eh, solo un pequeño aviso. Este seminario web se está grabando y enviaremos la grabación junto con las diapositivas de la presentación poco después del seminario web. Actualmente, todos ustedes están en silencio, pero les animamos a participar. Por favor, escriban cualquier pregunta que tengan en nuestro cuadro de preguntas y respuestas para que podamos responderlas al final del seminario web. Hoy, Joseph repasará las directrices interinstitucionales financieras de EE. UU. para las relaciones con terceros. Joseph, te cedo la palabra para que comiences.

Joseph: Gracias. Muchas gracias. Quiero empezar dando las gracias a Prevalent y al equipo de Prevalent por invitarme a hablar hoy con ustedes sobre este tema tan esperado y tan esperado. Como saben, esto es crucial para todos los que trabajamos en el sector de los servicios financieros y todos hemos estado esperando la publicación de la guía interinstitucional definitiva sobre las relaciones con terceros durante aproximadamente dos años. Joseph: Creo que fue en julio de 2021 cuando se publicaron por primera vez para recabar comentarios. Ese periodo de comentarios se prolongó y, finalmente, aquí estamos, más de dos años después. Digamos que muchos de nosotros, yo incluido, estamos revisando diligentemente el Registro Federal, a menudo en anticipación a la publicación de esta guía final. Joseph: Bueno, vamos a empezar. Si echamos un vistazo a la agenda, vemos que hoy tenemos mucho que cubrir. Y, ya sabes, eh, cuando miras la guía, la guía tiene cerca de 70 páginas, ¿verdad? Joseph: Y quiero dejar tiempo para responder a vuestras preguntas, pero si no podemos responder a todas vuestras preguntas en esta sesión, vamos a realizar una segunda sesión, la segunda parte, en las próximas semanas para asegurarnos de que, les proporcionamos toda la información que necesitan para el desarrollo de su programa, porque los cambios en el cumplimiento y el cumplimiento de las directrices interinstitucionales definitivas para la gestión de riesgos de terceros son bastante cruciales, por lo que es muy importante que profundicemos en el tema. Joseph: Normalmente no soy alguien a quien le guste tener muchos gráficos, pero lo que van a encontrar es que va a haber muchos. Me gusta tener muchos gráficos y mucha narrativa, pero en este caso, he tenido que incluir mucha narrativa para su formación, de modo que podamos asegurarnos de que estamos siguiendo las directrices adecuadamente. Joseph: Así que realmente queremos cubrir cuatro áreas. Una es ofrecer una visión general de las directrices interinstitucionales financieras de EE. UU. La segunda es definir las etapas del ciclo de vida de terceros tal y como las definen la junta, la FDIC y la OTC. Y luego también queremos examinar los requisitos que las organizaciones tendrán que cumplir en cada etapa de ese ciclo de vida y luego reconocer las mejores prácticas que no solo los servicios financieros, sino todas las industrias pueden seguir. Así que, si podemos pasar a la siguiente diapositiva. Siguiente diapositiva, por favor. Todavía veo la agenda. No estoy seguro de que el resto de ustedes la vean. Entonces, Scott, eh...

Scott: No, estoy en la diapositiva de las agencias involucradas, con los tres logotipos de la Reserva Federal, la FDIC y la OC. ¿No la ves? Joseph: Una diapositiva más, por favor. Ahí está. Bien, empecemos con una explicación. Las agencias están involucradas. De acuerdo. La junta de la FDIC sabe que esa es la diapositiva correcta. No, esa es la diapositiva correcta. Ahora bien, les llevó un tiempo decidir que realmente querían unirse y pensar detenidamente cómo alinearse en cuanto a cuáles iban a ser sus directrices. Joseph: Y, si lo pensamos bien, lo ven desde perspectivas ligeramente diferentes. Así que, la junta de gobernadores de la Reserva Federal, ya sabes, es responsable de regular y supervisar las sociedades de cartera bancaria y las organizaciones bancarias extranjeras que operan en Estados Unidos. Joseph: Así que tienen sus circunscripciones, la FDIC o la Corporación Federal de Seguros de Depósitos, que proporciona seguros de depósitos a los bancos y promueve prácticas bancarias sólidas. Ahora bien, cuando pensamos en esto, supervisan los bancos autorizados por los estados, ¿de acuerdo? Y que no son miembros del sistema de la Reserva Federal y actúan como el principal regulador federal para muchos bancos comunitarios, ¿verdad? Joseph: Y luego tenemos la oficina de la OC, que es la oficina de control de la moneda. Se trata de una oficina independiente dentro del Departamento del Tesoro de los Estados Unidos que regula los bancos nacionales y la Asociación Federal de Ahorros. Joseph: Así que todos ellos interactúan entre sí, por lo que tenía mucho sentido que se reunieran y pensaran en cómo iban a ofrecer una orientación coherente, en lugar de tener matices ligeramente diferentes a medida que avanzaban en el proceso. Pasemos a la siguiente diapositiva, por favor. Joseph: Así que, la orientación final de las agencias, a las que nos referiremos como «las agencias» , emitió la orientación para promover prácticas sólidas de gestión de riesgos de terceros. Joseph: Una vez más, la orientación final ofrece opiniones sobre los principios de gestión de riesgos para los bancos a la hora de desarrollar e implementar las prácticas de gestión de riesgos en todas las etapas del ciclo de vida de las relaciones con terceros. Joseph: Ahora bien, esta orientación final también establece que una gestión sólida de los riesgos de terceros tiene en cuenta el nivel de complejidad del riesgo, el tamaño de la entidad bancaria y la naturaleza de la relación con terceros. Esto es muy importante, porque tener en cuenta el tamaño de la entidad bancaria va a ser realmente útil en términos de cómo están cumpliendo realmente con lo que está pasando. Joseph: Por lo tanto, las agencias han publicado esta guía conjunta para promover la coherencia en sus enfoques de supervisión, que sustituye a las directrices generales existentes de cada agencia sobre el tema y está dirigida a todos los bancos supervisados por todas estas agencias. Joseph: Para que quede claro, chicos, las organizaciones bancarias utilizan terceros. No, ya sabéis, al utilizar un tercero, no se elimina la responsabilidad que tiene el banco en cuanto a cómo va a operar realmente. Por lo tanto, es muy importante que pensemos en lo que está sucediendo allí. Joseph: Y, de nuevo, el uso de un tercero no va a disminuir ni eliminar las responsabilidades de la organización bancaria de garantizar que las actividades se realicen de manera segura y sólida, y de conformidad con las leyes y reglamentos aplicables. Joseph: Y lo que también está ocurriendo es que están derogando y sustituyendo todas estas directrices que ves aquí, las directrices de la junta de 2013, las directrices de la FDIC de 2008 y la OC 213-29, eh, y las preguntas frecuentes de 2020. Todas ellas han sido derogadas y ahora, a fecha de 6 de junio, se han publicado las directrices interinstitucionales definitivas. Joseph: Así que llevamos poco más de un mes con esto, lo cual es bueno, y por eso es tan oportuno que tengamos esta conversación. Podemos pasar a la siguiente diapositiva.

Ashley: Hola, Joseph, soy Ashley. Ashley: Como sabes, la agencia ha publicado unas directrices conjuntas para promover la coherencia en su enfoque. Estas directrices abordan los principios clave que los bancos pueden aprovechar a la hora de desarrollar e implementar los procesos de gestión de riesgos, y estas unidades realmente... Oye, Joseph, ¿te importa apagar la cámara? Parece que tu señal es un poco irregular. ¿Me oís? Joseph: Lo siento. Problemas técnicos.

Joseph: Intentemos hacerlo con la cámara apagada y quizá así se solucione el problema de calidad. Espero que sí. Tengo mucho ancho de banda. De hecho, tengo una conexión muy rápida, así que no sé qué está pasando, pero sigamos adelante y continuemos. Joseph: Bien. Cuando miramos esto, ya sabes, la orientación realmente tiene en cuenta lo que las empresas necesitan y lo que los bancos deben seguir. Y ya sabes, hay que entender que se trata de una orientación. No es necesariamente una ley que se va a aplicar. Joseph: Y además, si se recurre a un tercero, la responsabilidad del banco no desaparece. Sigues teniendo la obligación de garantizar que lo que haces es realmente coherente con lo que estamos buscando. Pasemos a la siguiente diapositiva. Joseph: Cuando miramos las directrices que aborda, lo que realmente se analiza es cómo las entidades bancarias pueden establecer relaciones con terceros. Y, como todos sabemos, están surgiendo un montón de nuevos tipos de proveedores y nuevos tipos de empresas con las que los bancos están empezando a trabajar en el ámbito de la tecnología financiera. ¿Verdad? Joseph: Por lo tanto, es importante que reflexionemos sobre lo que está pasando. Y ese segundo punto es realmente importante, ya que sabemos que existe una relación con terceros a pesar de la falta de contrato o remuneración. Creo que es algo realmente importante en lo que debemos pensar, porque, históricamente, lo hemos estado analizando desde la perspectiva de los contratos. Lo analizábamos en términos de lo que es ese tercero. Ahora, creo que lo estamos analizando desde una perspectiva un poco más amplia. Y creo que los principios que están estableciendo son realmente importantes para nosotros. Joseph: Entonces, una vez más, un banco puede verse expuesto a impactos adversos, incluyendo pérdidas financieras sustanciales y trastornos operativos, si no gestiona adecuadamente los riesgos asociados con los terceros. Por eso es tan importante esta guía. Es importante que el banco identifique, evalúe, supervise y controle el riesgo relacionado con el tercero.

Joseph: Las relaciones. Esto es algo que, como saben, es un principio clave que se está estableciendo para que podamos reflexionar sobre ello. Pasemos a la siguiente diapositiva, por favor. Joseph: Una vez más, no todas las relaciones presentan el mismo nivel de riesgo, ¿verdad? Las agencias han aclarado y simplificado las directrices y han eliminado detalles que, en algunos casos, eran redundantes, inútiles o podían interpretarse como excesivamente prescriptivos, ¿verdad? Joseph: Al hacerlo, quieren que reflexionemos y pensemos que una actividad que es fundamental para una entidad bancaria puede no serlo para otra. Y esto nos lleva de vuelta a lo que dije antes, que están teniendo en cuenta el tamaño del banco. Así que ahora no están mirando a todo el mundo con el mismo rasero. Lo están analizando en función de lo que es apropiado para cada organización. Por eso es muy importante que pensemos detenidamente en lo que está pasando allí. Joseph: Y, de nuevo , depende de cada entidad bancaria identificar sus actividades críticas y sus relaciones con terceros que respaldan esas actividades críticas, porque va a ser diferente en función de la propensión al riesgo y la metodología de riesgo que emplee ese banco. Por lo tanto, creo que es un buen punto de aclaración que debíamos examinar. Joseph: Pasemos a la siguiente diapositiva. Las agencias también querían reiterar que la guía se creó basándose en principios, ¿verdad? Cuando dicen que la guía se creó basándose en principios, lo que quieren decir es que la guía se basa en un conjunto de normas, reglas o valores fundamentales que proporcionan un marco para la toma de decisiones y las acciones. Así que, en lugar de dar reglas e instrucciones prescriptivas detalladas, los reguladores están estableciendo un conjunto de principios que las organizaciones deben cumplir, ¿verdad?

Joseph: Y, de nuevo, cuando echamos un vistazo a esto, se trata de opiniones de alto nivel en cuanto a lo que están diciendo, pero, ya sabes, las agencias realmente están tratando de decir: «Vale, tenéis que apoyar un enfoque basado en el riesgo para que vuestras organizaciones bancarias evalúen el riesgo que plantean vuestros terceros y, a continuación, tenéis que adaptar vuestro proceso de gestión de terceros en consecuencia, de modo que lo que estáis haciendo es situarlo en el contexto adecuado para lo que estáis haciendo y es casi como resolver un cubo de Rubik, ¿verdad? Joseph: Por lo tanto , es importante involucrar al personal con los conocimientos y habilidades necesarios en cada etapa de la gestión de este ciclo de vida. Así que lo que te están diciendo es que tienes que involucrar realmente a los expertos de múltiples disciplinas de tu organización, ya sease trate de asesores jurídicos, de cumplir con los requisitos de riesgo, de la tecnología, etc. Por lo tanto, creo que es muy importante contar con expertos de múltiples disciplinas y comprender que un banco utiliza servicios de evaluación de terceros, como Trusite, por ejemplo, queutilizan como utilidad, por lo que, si su banco utiliza uno de estos como acuerdo comercial, dicho acuerdo debe incorporarse al proceso de gestión de riesgos de terceros del banco. Joseph: El hecho de que se externalice algo no significa que no haya que analizarlo adecuadamente desde la propia perspectiva, por lo que es fundamental identificar las actividades que respalda la relación con terceros y, en particular, que una actividad que es fundamental para una entidad bancaria puede no serlo para otra. Por lo tanto, es importante que tengamos en cuenta todo esto . Pasemos a la siguiente diapositiva, por favor. Joseph: Ahora queremos hablar de la definición de las etapas del ciclo de vida de los terceros. Todos los que llevamos más de un año haciendo esto probablemente entendemos lo que es, pero lo vamos a repasar ahora porque ahora hay una alineación entre las agencias en cuanto a lo que es.

Joseph: Pasemos a la siguiente diapositiva. Como pueden ver, se trata de una diapositiva antigua, pero en realidad está tomada directamente de la nueva guía. Bien, originalmente fue publicada por la OC. Pero ahora ha sido modificada y adaptada tanto por la junta directiva como por la FDIC y la OCC como las etapas del ciclo de vida de la gestión de riesgos. Joseph: Así que ya saben que tienen la planificación, la diligencia debida y la selección de terceros, la negociación del contrato, la supervisión continua y, obviamente, la terminación al final de ese proceso. Joseph: Esto significa que ahora tenemos un proceso estándar repetible, evaluaciones cualitativas y cuantitativas, sabemos que tenemos un tratamiento de riesgos coherente y que necesitamos ajustar nuestra carga de trabajo para contratar a las personas adecuadas en el momento adecuado si queremos cumplir con la nueva normativa, así que me alegro de que se hayan puesto de acuerdo y hayan adoptado un punto de vista específico, porque creo quees realmente importante para nosotros pensar en ello, así que ¿por qué no pasamos a la siguiente diapositiva? Queremos examinar los requisitos que las organizaciones deben abordar en cada etapa del ciclo de vida y han sido muy buenos a la hora de proporcionar esa orientación. Joseph: Una vez más, no es prescriptivo, pero créanme, van a venir y van a querer echarle un vistazo. Así que, al pasar a la siguiente diapositiva, empecemos con todo ese proceso de planificación. ¿De acuerdo? Joseph: Entonces, cuando empezamos a pensar en la planificación, fui muy prescriptivo al entrar en la normativa real y en la orientación y, de hecho, al recopilar la información para ustedes. No quiero repasar cada uno de estos puntos en detalle porque van a recibir una copia de la presentación, pero quiero que puedan comprender realmente que esto es lo que hay en ese documento, ¿de acuerdo? Joseph: Y entonces, la guía, ya saben, realmente aborda cómo van a pensar en la planificación y saben lo que deben tener en cuenta y cómo van a gestionarlo.

Joseph: Y así, cuando hablan de comprender el propósito estratégico del acuerdo comercial, hay que entender cómo se alinea el acuerdo con los objetivos estratégicos generales de la organización, los objetivos, la propensión al riesgo, el perfil de riesgo y las políticas corporativas más amplias. Hay mucha información que analizar, pero eso es lo que intentan que pienses, ya sabes, quieren que, cuando identifiques y evalúes los beneficios y los riesgos asociados al acuerdo comercial, determines la forma adecuada de gestionar esos riesgos identificados. Joseph: Por lo tanto, no basta con identificar los riesgos . Hay que aceptarlos o mitigarlos. Y por eso quieren que pienses en ello. Joseph: Así que, mientras consideras la naturaleza del acuerdo comercial, quieren que pienses en ello de forma holística y que lo hagas en términos de dónde se desarrolla realmente la actividad, ¿verdad? Porque, de nuevo, cuando miras lo que están diciendo, quieren que pienses realmente en cómo vas a poner en marcha tu programa y cómo se está llevando a cabo el trabajo en ese lugar, y luego si hay requisitos normativos locales o globales que se están imponiendo al respecto. Joseph: Entonces, cuando ves el número tres, donde dice que hay que tener en cuenta la naturaleza de los acuerdos comerciales, como el volumen de actividad, el uso de subcontratistas, la tecnología necesaria, la interacción con los clientes y el uso de terceros con sede en el extranjero. Eso es nuevo y es fundamental, ¿verdad? Joseph: Entonces, cuando hablan de terceros con sede en el extranjero, se refieren a terceros que prestan servicios a sus operaciones y que se encuentran en un país extranjero, en el extranjero, cerca de la costa, ¿verdad? Y que están sujetos a las leyes y jurisdicciones de ese país. Joseph: Entonces, este término no incluye a las filiales de empresas extranjeras con sede en EE. UU., porque hay operaciones de servicios que están sujetas a las leyes estadounidenses. Así que realmente quieren pensar bien cómo lo están haciendo en realidad.

Joseph: Y creo que eso es realmente importante. Y, de nuevo, cuando analizamos cómo estamos evaluando cómo la relación con terceros podría afectar a los empleados de la entidad bancaria, incluidos los empleados duales, ya sabes, y cuáles son los pasos de transición necesarios para que el banco gestione los impactos cuando las actividades que se llevan a cabo actualmente, ya sabes, se externalizan, ¿verdad? Joseph: Por lo tanto, quieren que pienses en estas cosas y que demuestres que tienes un plan tangible, que tienes el nivel adecuado de formación, que tienes el nivel adecuado de diligencia debida tanto en lo que respecta a la persona como al servicio y a la empresa. Así que, ya sabes, creo que se están volviendo muy buenos en lo que respecta a establecer el marco. Luego, tienes que tomar ese marco y traducirlo a tu programa. Siguiente diapositiva, por favor. Joseph: Bueno, continuando con este tema en términos del grado de riesgo y complejidad. Ya sabes, de nuevo, evaluar el impacto potencial de un tercero en sus clientes, ¿verdad? Bueno, esto incluye el acceso y el uso de la información del cliente, la interacción de terceros con los clientes, tus centros de atención telefónica, etc. Eh... el potencial de daño al consumidor y la gestión de las quejas y consultas de los clientes. Por lo tanto, quieren que pienses en eso. Joseph: Es, ya sabes, de nuevo, un punto muy importante, el número seis, pero requiere mucha implementación. Complejidad, ¿verdad? Y cuando decimos que entendemos las posibles implicaciones de la información o la seguridad, ¿verdad? Esto incluye el acceso al banco, a los sistemas del banco, ¿verdad? Y a información confidencial. Y esto es realmente crítico, especialmente con muchas de las violaciones de datos que estamos viendo ahora y que, en realidad, tienen su origen en la cadena de suministro, en lugar de en la propia organización. Por lo tanto, quieren que pensemos en eso.

Joseph: El número ocho es bastante importante cuando se piensa en comprender las posibles implicaciones para la seguridad física, y esto es algo que deben tener en cuenta: ¿van a tener acceso a las instalaciones del banco? ¿Van a acudir al lugar? Sé que esto ha cambiado un poco desde... desde co, pero seguimos teniendo terceros que, para poder producir los bienes y servicios quenos proporcionan, tienen que venir a las instalaciones . Si echamos un vistazo, por ejemplo, al número 10, que determina la capacidad de la organización del banco para proporcionar una supervisión y gestión adecuadas de la relación propuesta con terceros de forma continua. Joseph: Bueno, ya sabes, esto incluye si se cumplen los niveles de personal y la experiencia o la gestión de riesgos y los sistemas de gestión del cumplimiento, ¿verdad? Quieren asegurarse de que tienes el nivel adecuado de controles internos para tus sistemas. Ya sabes, que estás abordando de manera efectiva el acuerdo comercial que se ha reducido a escrito en el contrato y que realmente lo estás supervisando de manera adecuada. Joseph: Así que, de nuevo, todo esto es parte de la planificación. Tienes que pensar en esto antes de seguir adelante, eh, si quieres tener éxito en lo que estás haciendo. Pasemos a la siguiente diapositiva, por favor. Joseph: Cuando pensamos en la diligencia debida, que como sabes, implica planificación, entonces tienes que realizar la diligencia debida. Se trata de llevar a cabo la diligencia debida con tus terceros antes de seleccionarlos y establecer una relación con ellos. Es importante y, como sabes, es una parte fundamental de una gestión de riesgos sólida . De acuerdo. Joseph: Y así, el proceso de diligencia debida proporciona al banco la información necesaria para evaluar si puede identificar, supervisar y controlar adecuadamente los riesgos asociados a la relación que va a establecer. Y esta diligencia debida incluye evaluar la capacidad del tercero para realizar la actividad según lo previsto.

Joseph: Ya sabes, cumplir con las políticas bancarias o, bueno, ya sabes, si son capaces de cumplir con las leyes y normativas aplicables, llevar a cabo sus actividades de forma segura y sólida. Se trata de analizar su viabilidad financiera. Se trata de examinar, ya sabes, sus perfiles de calcetines, etc. Así que realmente se trata de pensar detenidamente, ya sabes, y por eso las agencias no creen que sea apropiado que un banco reduzca la diligencia debida basándose únicamente en el tipo de entidad de terceros. Joseph: Hubo muchos comentarios durante el periodo de comentarios al respecto, y basándose en algunos de ellos, la gente quería decir cómo podríamos reducir la carga de la diligencia debida en función del tipo de entidad tercera con la que tratamos, y eso, como puedes ver, no fue aceptado, así que, ya sabes, cuandose echa un vistazo a la guía, también se indica que, al evaluar el riesgo de una relación con un tercero, un banco puede tener en cuenta la información disponible de diversas fuentes, por lo que te dicen que no te limites a confiar en lo que puedes hacer internamente, sino que eches un vistazo a lo que hay ahí fuera, pero cuando miras las cosas que hay ahí fuera, tienes que asegurarte de que realmente las entiendes y de que utilizas esa información. Joseph: Pero al tomar esa información externa, no se reduce tu responsabilidad como organización de asegurarte de que realmente estás haciendo el nivel correcto de diligencia debida y que la información que estás aportando es, ya sabes, realmente responsabilidad de tu organización gestionarla para que esté disponible. Joseph: Así que, ya sabes, la guía establece que, en determinadas circunstancias, los bancos deben considerar la posibilidad de tomar medidas para mitigar los riesgos o, si los riesgos no pueden mitigarse, deben determinar si se aceptan los riesgos residuales, lo que significa que es necesario contar con una metodología de riesgo sólida y tener la capacidad de demostrarles de forma tangible que se tiene control sobre lo que se está haciendo. Joseph: Por lo tanto, creo que es realmente importante que pensemos por qué las agencias están haciendo esto.

Joseph: Lo hacen porque, si echamos la vista atrás desde 2008 hasta ahora, ha habido muchos problemas con terceros, por lo que quieren asegurarse de que aprovechan los conocimientos que han adquirido durante este último periodo de tiempo y los incorporan a las directrices, de modo que lo que hacen esproporcionan un nivel y un marco que luego podamos adoptar y poner en práctica correctamente, por lo que creo que es extremadamente importante que pensemos por qué lo hacemos y cómo se lleva a cabo. Una de las cosas que hizo la guía fue tener en cuenta algunos de los conceptos que aparecían en las preguntas frecuentes de la OC. Joseph: De acuerdo. Y entonces tomaron esos conceptos e intentaron inculcarlos en las diferentes partes, ya sea en la planificación, la diligencia debida, etc. ¿Verdad? Joseph: Y entonces, ya sabes, la guía realmente incorpora muchas de esas preguntas frecuentes en el proceso, de modo que lo que estás haciendo ahora, en lugar de tener que consultar múltiples documentos, es seguir una guía clara y coherente que te ayuda a ver realmente lo que está pasando. Joseph: Pero , al fin y al cabo, la guía hace hincapié en que es responsabilidad del banco identificar y evaluar los riesgos asociados a cada uno de sus terceros y adaptar la práctica de gestión de riesgos, una vez más, al tamaño de la organización, la complejidad de la organización, el perfil de riesgo que tienes y, obviamente, la naturaleza de las relaciones con terceros que estás estableciendo. Joseph: Pero las agencias no han excluido ninguna relación específica con terceros del ámbito de aplicación de la guía. Y esa fue una de las cosas que se preguntó, cuando dijeron: «Vale, ¿podemos excluir las relaciones entre bancos? ¿Podemos excluir a las filiales, etc.? ». Dicen que no excluyen ninguna relación específica con terceros del ámbito de aplicación de la guía. Pasemos a la siguiente diapositiva, por favor .

Joseph: Entonces, cuando se analiza la diligencia debida, el alcance y el grado de la misma deben identificarse y documentarse, así como cualquier limitación de la misma, y deben comprenderse los riesgos de dichas limitaciones. Deben considerarse alternativas para mitigar ese riesgo, incluyendo la posibilidad de buscar una fuente diferente. ¿Correcto? Joseph: Por lo tanto, la diligencia debida incluye evaluar la capacidad de terceros para realizar la actividad esperada, el cumplimiento de las políticas de la organización bancaria y las actividades relacionadas, así como el cumplimiento de todas las leyes y normativas aplicables y la realización de dicha actividad de forma segura y adecuada. Joseph: Lo incluyo aquí y lo reitero porque, de nuevo, esto proviene directamente de la guía y es algo que todos los que hemos realizado gestión de riesgos de terceros durante más de un día sabemos que es una especie de fundamento básico de lo que se hace cuando se empieza a analizar desde una perspectiva de diligencia debida. Joseph: Pero esto es algo que, como saben, han vuelto a enfatizar, han vuelto a inculcar en lo que está sucediendo. Y creo que es muy importante que pensemos en cómo funciona realmente. Pasemos a la siguiente diapositiva, por favor. Joseph: Cuando se observa esto, hay 14 áreas diferentes de enfoque y diligencia debida que han publicado. Y, de hecho, han incluido bastante información debajo de cada una de ellas. Las he puesto aquí porque creo que es importante que pensemos en lo que querían que pensáramos y en la revisión que debemos realizar. Joseph: Y cuando piensas en esto, si tus programas actuales no se encuentran realmente en la fase de diligencia debida que aborda cada una de estas 14 áreas, probablemente vas a tener un problema. Probablemente vas a recibir un MRA o un MIR, etc. Por lo tanto, es importante que pienses en esto y en cómo implementarlo realmente, ¿verdad?

Joseph: Porque cuando, cuando, cuando echas un vistazo a cada una de estas cosas, es muy importante si te fijas, por ejemplo, en la situación financiera que has visto, sabes que se trata realmente de una evaluación de la viabilidad financiera de terceros, ¿verdad? Y, por lo tanto, esta información de los estados financieros o los informes anuales o, ya sabes, los documentos presentados ante la Comisión de Valores y otros, todo ello se utiliza para evaluar la viabilidad financiera de terceros, ¿verdad? Y, por lo tanto, esta información de los estados financieros o los informes anuales o, ya sabes, los documentos presentados ante la Comisión de Valores y otros, todohas visto, sabes que se trata realmente de una evaluación de la viabilidad financiera de terceros, ¿verdad ? Por lo tanto, esta información procedente de los estados financieros, los informes anuales o los documentos presentados ante la Comisión de Valores y otros organismos se utiliza para ayudar a evaluar la capacidad financiera y la estabilidad del proveedor con el que trabajas, por lo que sabes que hay que dedicar mucho esfuerzo a cada uno de estos aspectos. Joseph: Y les animaría a todos a que se pusieran manos a la obra y pensaran en cómo su programa actual está abordando estas cuestiones. Y si no las está abordando de una manera lo suficientemente sólida, les animaría a que pensaran en cómo, en realidad, pueden analizar eso. Joseph: Y luego, mientras examinan las herramientas que respaldan su programa, asegúrense de que realmente pueden decir: «Bien, ¿cómo puedo hacer un seguimiento e informar con mi herramienta sobre estas áreas?». Porque creo que es muy importante que pensemos en eso, ¿verdad? Joseph: Y parte de esto se va a hacer fuera de línea. Mucho de esto se puede hacer a través de las herramientas, pero creo que es realmente importante. Creo que una de las áreas en las que realmente están haciendo hincapié ahora es, si miras el número E, las cualificaciones y antecedentes del personal clave y otras consideraciones de recursos humanos, una declaración general, pero lo que quieren hacer es examinar las cualificaciones y la experiencia de los principios de terceros y otro personal clave. Así que ahora nos piden que hagamos un doble clic, ¿verdad? Joseph: Y entonces nos piden que hagamos un análisis realmente profundo de quiénes son los miembros del personal con los que realmente se relaciona dentro de ese tercero, ¿verdad? Y entonces, ya sabes, si no lo estás haciendo hoy, probablemente sea un área que realmente debas abordar, ¿verdad? Joseph: Y otra consideración es si el tercero cuenta con la formación necesaria para garantizar que sus empleados comprendan sus deberes y responsabilidades.

Joseph: Y luego, el conocimiento sobre las leyes y regulaciones aplicables que se aplican a lo que están haciendo por su parte, ¿verdad? Y por eso creo que tenemos que replantearnos realmente lo que hemos hecho históricamente, que creo que ha sido genial. En realidad, se trata de darle doble clic y hay algunas instituciones que realmente solo han tenido un impacto nominal por parte de su regulador en términos de lo que han tenido que hacer por parte de terceros. Así que gran parte de esto va a ser realmente nuevo para ellos. Joseph: Gran parte de esto va a ser como: «Dios mío, ¿cómo voy a hacer el flujo de trabajo en torno a esto? ¿Cómo voy a poder demostrarlo de forma tangible? Bueno, de nuevo, estas cosas son directrices. Estas directrices se están publicando de nuevo para que podamos pensar en cómo podemos elaborar un programa de forma muy convincente y concisa, y ese programa tendrá que fluir desde la junta directiva de cada una de estas organizaciones. Joseph: Así que, ya sabes, hay mucho trabajo por hacer ahí, eh, cuando piensas en esto, así que, um, te animaría a que pensaras detenidamente en cada una de estas áreas. Ve a la guía real y ya sabes que es importante revisar y entender lo que se pide y, ya sabes, cuando hagas esto, ya sabes qué puedes usar desde el punto de vista tecnológico para que esto sea mucho más, ya sabes, resistente y mucho más fácil de usar, y asegúrate de que puedes cumplir con lo que dicen estas directrices. Joseph: Pasemos a la siguiente diapositiva. Ahora pasamos de la planificación a la diligencia debida y ahora vamos a la negociación de los contratos, y de nuevo, si pueden echar un vistazo, se trata de mucha información estándar que han tomado de varias revisiones que han realizado a lo largo de los años, a partir de los comentarios que han recibido de las diversas inspecciones que han realizado, y todo esto se hace básicamente para ayudarles a decir: «Bien, esto es lo que creemos que deben tener en cuenta».

Joseph: Ahora, vamos a evaluarte en función de eso, ¿verdad? Por lo tanto, al negociar un contrato, es útil que el banco aclare e identifique los derechos y responsabilidades de cada parte, y hay que asegurarse de que realmente se está haciendo eso. Joseph: Por lo tanto, será importante contar con un MSA estándar o un acuerdo marco de compra, etc., ¿verdad? Y será importante asegurarse de que realmente se incluyen en él puntos de referencia para medir el rendimiento. Joseph: Um, así que hay que definir claramente las medidas de rendimiento para poder evaluar realmente el rendimiento del tercero, y esto es fundamental en los acuerdos de nivel de servicio entre el banco y el tercero, donde realmente hay que poder mostrarles que estas son las medidas y las expectativas que tenemos para ambas partes, y luego tenemos que poder demostrar de forma tangible que estamos incluyendo, ya sabes, el rendimiento, el cumplimiento de las políticas y procedimientos, el cumplimiento de las leyes aplicables, y todo ello se refleja en ese proceso. Joseph: Más adelante, cuando se llegue a la supervisión continua, todo esto se hará realidad. Pero si no se piensa en ello y no se incluye en el contrato, será difícil conseguir el nivel adecuado de cumplimiento por parte de los terceros, ¿verdad? Joseph: Por lo tanto, una vez más, es importante tener en cuenta las disposiciones del contrato que especifican la obligación del tercero en cuanto a lo que usted necesita que haga, cuándo necesita que lo haga, cómo necesita que le informe y, a continuación, qué derechos tiene usted como banco para intervenir y, ya sabe, supervisar su riesgo, supervisar su rendimiento y abordar las cosas que deben proporcionarle en términos de informes, datos y acceso. Joseph: Eh, ya sabe, todas las cosas que va a necesitar para que el programa tenga éxito. Si no las incluye en su contrato, le resultará muy difícil poder hacerlo. Y cuando los reguladores lleguen y lo vean, dirán: «Bueno, esto es interesante».

Joseph: Me estás diciendo que haces esto, pero no puedes mostrarme cómo lo haces realmente, ya que no tienes una cláusula de auditoría como ejemplo en tu contrato. Por lo tanto, es muy importante ayudar, ya sabes, asegurarse de que se supervisa este rendimiento, que se pone por escrito, que también se incluyen disposiciones para auditorías independientes que se pueden incluir allí o, si tienen subcontratistas, que se tiene la posibilidad de entrar y echar un vistazo a lo que están haciendo. Joseph: Así que, a medida que se revisa todo esto . Esto es realmente mucha información que hay que tener en cuenta. Lo he resumido en estos puntos, pero detrás de cada uno de ellos hay páginas y páginas dentro de la normativa real. Joseph: Y, en esencia, hay que profundizar y comprender, por ejemplo, los costes y las compensaciones, ¿verdad? Los contratos que describen claramente todos los costes y acuerdos de compensación ayudan a reducir los malentendidos y las disputas sobre los edificios, y ayudan a garantizar que todos los acuerdos de compensación sean coherentes con las prácticas bancarias sólidas y las leyes aplicables. ¿Verdad? Joseph: Se podría seguir hablando sin parar de lo que quieren que pienses, pero es importante que lo veas como una guía rápida y te preguntes: «Bien, ¿mis plantillas maestras de contratos abordan estos aspectos?». Y si la respuesta es no, probablemente tengas que hablar sobre lo que vas a hacer. Joseph: Pero, de nuevo, no lo mires solo desde una perspectiva superficial. Tienes que profundizar y comprender cuáles son las pautas que están estableciendo, porque esa es la expectativa mínima que tienen en relación con lo que quieren que pienses. Joseph: Y, ya sabes, es muy importante que estas disposiciones sean realmente sólidas y, de nuevo, van a examinar cuál era tu acuerdo maestro y cuál fue el acuerdo realmente ejecutado.

Joseph: Entonces, quieren echar un vistazo a... Sí, me dices que había una cláusula de subcontratación, pero cuando miro el acuerdo firmado, veo que en realidad se negoció para eliminarla. De acuerdo. Joseph: Una vez más, esto es un trabajo en equipo. No es solo responsabilidad del equipo de gestión de riesgos de terceros. No es solo responsabilidad de la empresa, ni solo de la organización de compras o del departamento jurídico. Hay muchos actores que deben abordar esto para asegurarse de que lo que estamos haciendo es garantizar que estas cláusulas contractuales se cumplan y se incluyan en los contratos, y que luego podamos demostrarlo. Joseph: A medida que avanzamos, un área clave que ellos estarán analizando, y lo han hecho durante muchos años, es el seguro corporativo. Yo solía gestionar los seguros corporativos, que es un área que realmente quieren examinar, ¿verdad? Y quieren entender cuáles son los requisitos que se imponen a los terceros para mantener los tipos y cantidades de seguro especificados, ¿verdad? Joseph: Y también quieren asegurarse de que, ya sabes, ¿se te nombra como asegurado adicional? Y si no es así, ¿por qué no? Así que tienes que pensar que no se trata solo de tener una revisión alta, sino de cómo lo pones en práctica para poder superar eso, y sabes que un área en particular en la que se van a centrar mucho es la subcontratación, porque quieren entender lo que estás transmitiendo a esas otras organizaciones, porque hay mucho trabajo que hacer. Joseph: Por cuestiones de tiempo, pasemos a la siguiente diapositiva, por favor. De acuerdo. Lo que las agencias están tratando de hacer aquí no es fomentar un enfoque específico para la supervisión continua, sino más bien orientar a los bancos para que piensen en la supervisión continua como cualquier otro proceso de gestión de riesgos de terceros. Joseph: Entonces, quieren que pienses en cómo se relaciona esto con tu programa, la complejidad de tu organización y el perfil de riesgo de tu organización, ¿verdad?

Joseph: Y al hacer esto, quieren que pienses en que la supervisión continua se puede llevar a cabo de forma periódica o continua. No están diciendo ninguna de las dos cosas. O han visto que se puede hacer de ambas formas y que una supervisión más exhaustiva o frecuente es adecuada cuando la relación con terceros respalda actividades de mayor riesgo. Joseph: Así que, de nuevo, tienes que tener una metodología para poder determinar cuál es la importancia real de la actividad y cuál es la importancia del proveedor, de modo que sepas que tu supervisión continua se va a basar básicamente en ese nivel de riesgo, porque, de nuevo, si tienes algo crítico, probablemente tendrás una visión mucho más profunda en términos de lo que quieres gestionar desde la perspectiva de la supervisión continua. Joseph: Si se trata de un elemento de bajo riesgo, habrá diferencias variables y te darán esa libertad para asegurarse de que, si realmente tienes el nivel adecuado de metodología y si tienes un apetito de riesgo declarado, quieren asegurarse de que cualquier cosa que esté por encima de tu apetito de riesgo se supervise de forma significativamente diferente a cualquier cosa que esté dentro del apetito de riesgo o por debajo de él. Joseph: Pasemos a la siguiente diapositiva, por favor. Esto es una especie de continuación de la supervisión continua. Y, de nuevo, cuando veas esto, solo te está diciendo lo que ellos creen que deberías tener en cuenta a medida que avanzas en este proceso. Joseph: Y, de nuevo, la guía establece que las organizaciones bancarias pueden considerar acuerdos de colaboración o el uso de terceros para ayudar a complementar el seguimiento continuo. Esto es algo nuevo, ya que se puede recurrir a un tercero para que ayude en ese proceso. Pero, de nuevo, hay que asegurarse de que ese tercero cumple con los estándares que usted tiene. ¿Verdad?

Joseph: Porque, bueno, cuando lo analizas, sabes que lo que el seguimiento continuo permite al banco hacer es, bueno, ya sabes, que tienen que analizar tanto el nivel como los tipos de riesgos, porque eso puede cambiar a lo largo de la relación, ¿no? Y entonces puede que tengas que adaptar tus prácticas de seguimiento continuo en consecuencia. Joseph: Por lo tanto, es posible que se produzcan cambios en la frecuencia, el tipo de información o el nivel de supervisión que se lleva a cabo, en función de la naturaleza de la evolución de la relación con ese tercero con el que se tiene. Pasemos a la siguiente diapositiva, por favor. Joseph: Así se puede empezar a ver la complejidad de los riesgos y lo que se intenta conseguir, ¿verdad? Y, como saben, cuando empiezan a examinar las revisiones de lo que está sucediendo, quieren que puedan obtener cierta eficiencia, pero también quieren asegurarse de que lo que están haciendo sigue un proceso que realmente les ayude a garantizar el cumplimiento, ¿verdad? Así que lo están exponiendo aquí de forma muy eficaz. Joseph: Cambios en la situación financiera de terceros, incluidas las obligaciones financieras con otros. Una vez más, puedes demostrarlo con tu evaluación del riesgo de viabilidad financiera. Si lo haces de forma periódica, no lo hagas solo al principio, cuando estás en la fase de diligencia debida. Tienes que hacerlo de forma continua, ¿verdad? Joseph: O auditorías relevantes, resultados de pruebas y otros informes que aborden si el tercero sigue siendo capaz de gestionar los riesgos y cumplir con las obligaciones contractuales y los requisitos reglamentarios. ¿Verdad? Por lo tanto, tienes que pensar en cómo demostrar realmente al regulador, demostrar a la junta directiva lo que estás tratando de hacer, porque este cumplimiento es realmente importante. Joseph: Y, de nuevo, no lo están planteando de forma prescriptiva, sino de una manera general que tiene sentido lógico. Y luego depende de ti incorporarlo a tu programa y traducirlo en acciones, actividades e informes para poder demostrarlo, y de nuevo todo se reduce al nivel de complejidad que tengas.

Joseph: Todo se reduce a cuáles son los factores que vas a tener en cuenta al hacerlo. Pasemos a la siguiente diapositiva, por favor. Joseph: Como sabes, todo esto es una continuación de lo que acabo de comentar y, como sabes, hay que asegurarse de que se cuenta con el nivel adecuado de formación, si lo que estás diciendo es la formación impartida a los empleados de la entidad bancaria y a terceros. Bueno, ¿cómo lo demuestras? ¿Puedes demostrarme que realmente está sucediendo? ¿Verdad? Joseph: Ya sabes, de nuevo, ¿tienes cláusulas de confidencialidad? ¿Tienes cláusulas de transferencia que se aplican a ese tercero? ¿Verdad? Ya sabes, ¿qué ocurre con la respuesta de los terceros ante incidentes, ya sabes, o la continuidad del negocio? Esto es realmente importante porque cualquier cosa que pueda poner en peligro las operaciones de tu organización debe ser... No puedes limitarte a decir: «Bueno, pensábamos que tenían un plan de continuidad del negocio, pero nunca lo probamos». Joseph: Bueno, en mi carrera, he visto, hace muchos, muchos años, que había planes de continuidad del negocio muy bonitos, pero que en realidad no tenían nada detrás. Eran presentaciones de PowerPoint estupendas en ese momento, pero cuando llegaron las inundaciones, cuando ocurrieron los terremotos, los terceros te dejaron un poco en la estacada porque realmente no tenían el nivel de planes y detalles que realmente fueran viables. Joseph: Y por eso es tan importante tenerlos por escrito, revisarlos y supervisarlos periódicamente, ir al lugar y asegurarse de que se cumplen. Joseph: Así que, al pasar a la siguiente diapositiva, empezarás a ver que, dado el enfoque de principios generales que tiene la guía, las agencias no la han revisado para abordar temas específicos o tipos de relaciones. Bien, es importante tenerlo en cuenta. Joseph: Por lo tanto, ya existen directrices separadas sobre determinados temas o relaciones en otras directrices. Y este tipo de cuestiones específicas de las directrices, a menos que se rescinda expresamente, no se ven afectadas por estas nuevas directrices.

Joseph: Entonces, si tienen algo ahí fuera relacionado con lo que está pasando con la ciberseguridad, eso no se inculca aquí, esas cosas siguen ahí. Así que, de nuevo, solo hay que fijarse en lo que hay que tener en cuenta desde una perspectiva de supervisión continua. Joseph: Ahora llegamos a la quinta parte de la siguiente diapositiva del ciclo de vida. Es la terminación, ¿verdad? Y, ya sabes, siempre me gusta pensar en ello. Es la terminación o la renovación de la terminación, ¿verdad? Joseph: Entonces, entonces, entonces, ya sabes, un banco puede terminar una relación por varias razones. Podría haber llegado al final natural y haber expirado el contrato. Podría haber un incumplimiento del contrato. Podría haber un tercero que incumpla las leyes o normativas aplicables o, ya sabes, o quizá quieras buscar un proveedor diferente por cualquier motivo. O quizá quieras internalizar esa actividad o, en algunos casos, interrumpirla. ¿Verdad? Joseph: Entonces, cuando esto ocurre, es importante que la dirección de la organización rescinda las relaciones de manera eficiente y eficaz, ya sea que las actividades se transfieran a otro tercero, se internalicen o se suspendan. Hay que pensar en todo esto y por eso se han establecido los costes y las tarifas asociados a esa rescisión. Ya sabes cómo vas a gestionar la propiedad intelectual conjunta, así que tienes que pensar en estas cosas en la fase del contrato, pero al final se ejecutarán en la fase de rescisión. Joseph: Por eso es muy importante que pensemos en ello. Pasemos a la siguiente diapositiva, por favor. Sé que se nos acaba el tiempo. Así que, ya sabes, vamos a hacerlo a alto nivel. Y, de nuevo, dentro de un par de semanas profundizaremos más en esto, pero ahora queremos recomendar algunas buenas prácticas que las organizaciones y las industrias pueden seguir, ¿verdad?

Joseph: Y cuando piensas en esto, sabes que hay varias prácticas recomendadas que las organizaciones de todos los sectores pueden seguir en relación con la gestión de riesgos de terceros, ¿verdad? Joseph: Y una de ellas es, en realidad, saber quiénes son tus terceros, ¿verdad? Tienes que saber que debes dar prioridad a quiénes son tus proveedores, ¿verdad? Tienes que asegurarte de que estás supervisando a tus proveedores de forma continua y, ya sabes, ¿cómo se consigue eso? Joseph: Tienes que automatizar tus procesos, ¿verdad? Y, por lo tanto, independientemente de cómo estructure el proceso la organización bancaria, estas prácticas de las que hablo son omnipresentes y deben pensarse en términos de supervisión y responsabilidad, revisiones independientes, documentación y presentación de informes. Joseph: Y eso nos tranquilizará en cuanto a lo que estamos pensando, ¿verdad? Hay varias formas en que las organizaciones pueden hacer esto con sus procesos. Joseph: Así que, la responsabilidad recae en la línea de negocio y, desde una perspectiva de primera línea de defensa, pero la organización bancaria, ya sabes, he visto casos en los que los bancos han centralizado este proceso y, a veces, es por cumplimiento, a veces es por seguridad de la información, a veces es por adquisiciones, a veces es por otras funciones de riesgo, pero, de nuevo, tener ese programa maduro, tener ese programa realmente establecido y tener ese programa de manera que sea auditable es realmente importante para nosotros a la hora de pensar en ello. Joseph: Y entonces, si pasamos a la siguiente diapositiva, esto comienza en la junta directiva, ¿verdad? Y al final del día, la junta directiva es responsable de establecer realmente cómo será esa visión, ¿verdad? Por lo tanto, las relaciones que tienen son realmente importantes para nosotros, ¿verdad? Joseph: Por lo tanto, una supervisión y una rendición de cuentas adecuadas son aspectos importantes de cualquier programa, ya sea de gestión de riesgos de terceros o no, ¿verdad? Y, por lo tanto, la junta directiva del banco tiene esa responsabilidad última y lo que hace es exigir responsabilidades a la dirección al respecto. ¿Verdad?

Joseph: Entonces, la junta directiva proporcionará una orientación clara y te ayudará a establecer cuál es el nivel de riesgo aceptable, aprobará las políticas y se asegurará de que se establezcan los procedimientos y prácticas adecuados. Joseph: Pero, al fin y al cabo, ellos ven las cosas desde una perspectiva lo suficientemente amplia y con el nivel de independencia necesario para ayudar a dirigir el barco hacia donde debe ir. Así que, al llevar a cabo sus responsabilidades, la junta o el comité designado suelen tener en cuenta muchos de los factores que ves ahí. Joseph: Ya sabes, si la relación con terceros se gestiona de manera coherente con los objetivos estratégicos o la visión del banco, etc. Por lo tanto, están estableciendo cuál es nuestra visión y cómo debe considerarse. Joseph: Y si pasas a la siguiente diapositiva, verás que la dirección tiene que ponerlo en práctica, ¿verdad? Por lo tanto, la dirección tiene realmente esa responsabilidad de gobernanza y supervisión, y es muy importante que así sea. He vuelto a enumerar estas cosas, ustedes recibirán una copia de esto, no quiero repasar cada una de ellas específicamente, pero es importante que tengan algo así como un comité de gestión de riesgos de terceros, que sepan que están integrando la gestión de riesgos de tercerosgestión de riesgos de terceros en el proceso general de gestión de riesgos de la organización del banco, que estáis proporcionando, que los contratos con terceros se revisen, aprueben y ejecuten adecuadamente, de modo que no sea solo alguien firmando un papel. Joseph: En realidad, hay una idea basada en el nivel de riesgo, basada en el importe en dólares, basada en la complejidad. Por lo tanto, lo que se hace es que la dirección se encarga de crear este proceso para garantizar que funcione. Joseph: Y si pasamos a la siguiente diapositiva, es aquí donde se empieza a pensar en las revisiones independientes, ¿verdad? Por lo tanto, es importante que las entidades bancarias realicen revisiones independientes periódicas para evaluar la idoneidad de sus procesos de gestión de terceros. Y ahí es donde realmente se pone a prueba, porque entra en juego la tercera línea de defensa.

Joseph: Están analizando cómo se está estableciendo realmente su organización y si cumple con lo que usted sabe, si está haciendo lo que dice que va a hacer y si lo está haciendo bien, y si lo está haciendo con un nivel de sofisticación que no solo va a cumplir con los requisitos mínimos, sino que realmente va a tener un programa que le ayudará a reducir y comprender los riesgos que tiene. Joseph: Así que sabes que la dirección va a utilizar los resultados de esta revisión independiente para determinar si es necesario ajustar su proceso y programa de gestión de riesgos de terceros y cómo hacerlo. ¿Necesitamos cambiar nuestras políticas? ¿Y nuestros informes? ¿Contamos con el nivel adecuado de recursos y el nivel adecuado de experiencia? ¿Tenemos el nivel adecuado de controles? Joseph: Ya sabes, por eso es importante que la dirección responda con rapidez y exhaustividad a cualquier problema o preocupación que se identifique y, a continuación, lo remita al consejo de administración según corresponda. Una vez más, hay muchos detalles detrás de esto, pero quería asegurarme de señalarlo para que lo tuviéramos en cuenta. Joseph: Y, por cierto, esto es aplicable a todos los sectores. No es solo para los bancos. Ya sabes, es una práctica sensata. Y si pasamos a la siguiente diapositiva, pensamos en la documentación y la presentación de informes, ¿verdad? Joseph: Hay muchas cosas aquí, pero la documentación y la presentación de informes son realmente los elementos clave que ayudan, ya sabes, a quienes están dentro y fuera de una organización a llevar a cabo las actividades y controlarlas. Joseph: Así que, dependiendo del riesgo y la complejidad de las relaciones con terceros, habrá muchas actividades diferentes que deberán llevarse a cabo. Cuando hablamos del inventario actual de todas las relaciones con terceros, sabemos que eso nos ayuda a identificar claramente aquellas relaciones que están asociadas a actividades de mayor riesgo, incluidas las actividades críticas.

Joseph: Entonces, si no tienes una forma de demostrar de manera tangible cuál es tu inventario y que lo tienes en ese inventario, entonces se compara con tu metodología para poder determinar, a través de tu proceso de evaluación de riesgos, si tienes algo que está por encima de tu apetito de riesgo. Sabes, probablemente no va a terminar bien para el grupo. Joseph: Um, también es importante informar a la junta directiva, informar periódicamente a la junta directiva. Uh, y esto es aplicable a cualquier dependencia que tengas de un único proveedor. Si hay múltiples actividades con un proveedor que tiene problemas financieros. Joseph: Um, ya sabes, si alguno de tus proveedores principales ha sufrido, por ejemplo, um, um, ciberataques y ese tipo de cosas, ¿verdad? Por eso es muy importante que pienses en cómo tienes el nivel adecuado de planes de remediación, quién es el responsable de los tipos de informes que se están produciendo, de terceros, etc. Joseph: Y, bueno, si echamos un vistazo a la siguiente diapositiva, por favor. En realidad, cada agencia revisará la gestión de riesgos de las organizaciones bancarias supervisadas y las relaciones con terceros como parte de su proceso estándar, ¿verdad? Joseph: Así que las revisiones de supervisión evaluarán los riesgos y la eficacia de su gestión de riesgos. La gestión y determinará si sus actividades se llevan a cabo de forma segura y si realmente cumple con las leyes o regulaciones aplicables que tienen. Joseph: Por lo tanto, sus evaluaciones realmente van a tener en cuenta lo que está haciendo al involucrar a un conjunto diverso de terceros, porque no todas las relaciones con terceros presentan los mismos riesgos, y si realmente comprende cómo adaptar sus prácticas a los riesgos que se presentan y si realmente tiene un programa que sabe que es tangible, medible y repetible. ¿Verdad? Joseph: Bueno, ya saben, sé que se nos acaba el tiempo. Pasemos a la siguiente diapositiva, por favor. ¿Me oís?

Joseph: Yeah, we can hear you, Joe. Joseph: Good. Good. Yeah. So, uh you know, one of the things that I think that we should think about is um As you’re looking into reviewing your your risk management processes and and and and you’re evaluating them, you need to make sure that everything you’re doing is helping to not just fulfill the obligation for how you’re managing on behalf of your company, but also on behalf of your client, right? Joseph: And how are you actually designing your process to protect your customers and to provide fair, you know, access to your your financial services. So, it’s not just about being prescriptive. It’s about actually how does this actually enable you to make money? How does this enable you to have a better customer experience? Joseph: I I know that we’re running short on time. Uh why don’t we jump to the next slide, please? So, you know, I wanted you to kind of think about some of the best practices that that that people need to be thinking about. And one one of those is, you know, how do you actually put the right level of framework in place? Joseph: So, where you have the right oversight and governance, you have the tools and controls, and you have the analytics and actionable reporting, right? How do you kind of lay that out in order for it to be to be appropriate? Joseph: I do want to get to some question. So, why don’t we jump to the next slide? This here is really kind of talking about the three lines of defense. If you’ve been in banking for more than a day, you’re probably aware of this, but let’s go ahead and um and I put this in here because I think it’s important for us to be thinking about that framework. We’ll do more of a deeper dive in our next session. Next slide. Joseph: This here is just kind of some recommended best practices uh that organizations in all industries can follow around kind of look here’s here’s a high level operating framework. Here are kind of the the the risks that we’re looking at. Here are the objectives and then you know here’s a third party risk assessment and here’s the engagements in that risk assessment and how we actually can kind of drive through that. Joseph: And if we could go to the next slide please and this right here is just kind of leveraging the foundation in order for us to actually think about that. And that second point I put a box around it is you know segmentation and onboarding is critical right because the classification of who your partners are and how you’re actually putting that methodology in place is really going to be foundational to how you’re actually going to be able to do the management and oversight across that entire life cycle. Joseph: Uh, next slide. So, we got to be thinking beyond just the regulatory requirements because it’s this isn’t the check the box exercise, right? Joseph: So, so you know, you need to think about how do you protect your organization’s knowledge and expertise. You know, you know, have you created any dependencies with a third party that now is becoming an issue for you if something happens to that third party, right? Joseph: You know, is the quality of your service consistent end to end with your third parties, right? And have you evaluated the total cost? You know, are there any additional or hidden costs that you need to be thinking about because there’s what you’ve put in contractually and what you’ve agreed to, but then as you start to come back and you’re starting to to to put your program in place, you’re going to see that your suppliers are going to push back on that. Joseph: And then did you take into consideration the increase in operational risks, right? Because all all of that is is just like really important for us to be thinking about because um If we don’t think about it outside of the regulator regulatory requirement, if we don’t think about that in terms of how do we actually put a program together, what we end up doing is we end up increasing our risk. We we fail in terms of our compliance to the guidelines and and basically this will impact our earnings per share and this will impact our reputational uh reputation in the industry. Joseph: So why don’t we take some qu go to the next slide. Let’s get some questions and answers. I know I went kind of fast through a number of these slides. We wanted to take a second session where we’re going to do more of a deep dive, but there were there was a tremendous amount that I wanted to kind of cover through, make sure that you guys had the ability to see because it’s really important for us to be thinking about this. Joseph: Uh because these new guidelines just came out and so as you know, once the guidelines come out, that’s in in in a short period of time, they’re going to start coming out and starting to see how you’re addressing the program to the new guidelines. So, uh with that, do we have any questions? Ashley: Hey, thanks Joseph. Uh Scott, do you have any closing thoughts on this? I’m sorry, guys. I know we didn’t really have any time for questions, but uh Joseph will be doing a part two in an upcoming webinar, and we’ll be able to address some more of this information there. Scott,

Scott: No, nada más para mí. Podemos continuar. Ashley: Muy bien. Muchas gracias a todos por asistir. Espero que tengan un buen día y un excelente fin de semana, y espero verlos en el próximo seminario web. Saludos.