Prepare su programa de gestión de riesgos de terceros (TPRM) para las nuevas normas de divulgación de información sobre ciberseguridad de la SEC.

Ashley: Ah, tampoco podemos olvidarnos de las presentaciones. Me llamo Ashley. Trabajo en el departamento de desarrollo empresarial de Prevalent. Hoy contamos con la presencia de unos invitados muy especiales. El director de privacidad jubilado, Joseph Martínez. Hola, Joseph.

Joseph Martínez: Adquisiciones.

Ashley: Ah, compras. Lo siento mucho. El director de compras. Y nuestro vicepresidente de marketing de productos, Scott Lang. Hola, Scott.

Hola, Ashley.

Ashley: Eh, solo un pequeño aviso. Este seminario web está siendo grabado y enviaremos la grabación junto con las diapositivas de la presentación poco después del seminario web. Ahora mismo todos ustedes están en silencio, pero les animamos a participar. Por favor, escriban cualquier pregunta que tengan en nuestro cuadro de preguntas y respuestas para que podamos responderlas al final del seminario web. Hoy, Joseph repasará las directrices interinstitucionales financieras de EE. UU. para las relaciones con terceros. Joseph, te cedo la palabra para que comiences.

Joseph Martínez: Gracias. Muchas gracias. Quiero empezar dando las gracias a Prevalent y al equipo de Prevalent por invitarme a hablar hoy con ustedes sobre este tema tan esperado y tan esperado. Como saben, esto es crucial para todos los que trabajamos en el sector de los servicios financieros y todos hemos estado esperando la publicación de la guía interinstitucional definitiva sobre las relaciones con terceros durante aproximadamente dos años. Creo que fue en julio de 2021 cuando se publicó por primera vez para recabar comentarios. Ese periodo de comentarios se amplió y, finalmente, aquí estamos, más de dos años después. Digamos que muchos de nosotros, yo incluido, estamos revisando diligentemente el Registro Federal, a menudo en anticipación de la publicación de esta guía final. Así que, eh, vamos a empezar. Si echamos un vistazo a la agenda, tenemos mucho que cubrir hoy. Y, ya saben, cuando miran la guía, la guía tiene cerca de 70 páginas, ¿verdad? Y quiero dejar tiempo para responder a sus preguntas, pero si no podemos responder a todas sus preguntas en esta sesión, vamos a realizar una segunda sesión, la segunda parte, en las próximas semanas para asegurarnos de que, les proporcionamos toda la información que necesitan para el desarrollo de su programa, porque los cambios en el cumplimiento y el cumplimiento de las directrices interinstitucionales definitivas para la gestión de riesgos de terceros son bastante cruciales, por lo que es muy importante que profundicemos en el tema. Normalmente no soy de los que les gusta usar muchos gráficos, pero lo que van a encontrar es que habrá muchos. Me gusta usar muchos gráficos y mucha narrativa, pero en este caso he tenido que incluir mucha narrativa para su formación, de modo que podamos asegurarnos de que estamos siguiendo las directrices adecuadamente. Así que queremos cubrir cuatro áreas. La primera es ofrecer una visión general de las directrices interinstitucionales financieras de EE. UU. La segunda es definir las etapas del ciclo de vida de terceros tal y como las definen la junta, la FDIC y la OTC. Y luego también queremos examinar los requisitos que las organizaciones van a necesitar para abordar cada etapa de ese ciclo de vida y luego reconocer las mejores prácticas que no solo los servicios financieros, sino todas las industrias pueden seguir. Pasemos a la siguiente diapositiva. Siguiente diapositiva, por favor. Sigo viendo el orden del día. No sé si el resto de ustedes lo ven. Scott, eh...

Scott Lang: No, estoy en la diapositiva de las agencias involucradas, con los tres logotipos de la Reserva Federal, la FDIC y la OC. ¿No lo ves?

Joseph Martínez: Una diapositiva más, por favor. Aquí está. Bien, empecemos con una explicación. Las agencias están involucradas. De acuerdo. La junta de la FDIC sabe que esa es la diapositiva correcta. No, esa es la diapositiva correcta. Ahora bien, les llevó un tiempo decidir que realmente querían unirse y pensar detenidamente cómo alinearse en cuanto a cuáles iban a ser sus directrices. Y, si lo pensamos bien, lo están viendo desde perspectivas ligeramente diferentes. La junta de gobernadores de la Reserva Federal es responsable de regular y supervisar las sociedades de cartera bancaria y las organizaciones bancarias extranjeras que operan en Estados Unidos. Por su parte, la FDIC o Corporación Federal de Seguros de Depósitos proporciona seguros de depósitos a los bancos y promueve prácticas bancarias sólidas. Ahora bien, cuando pensamos en esto, supervisan los bancos autorizados por los estados, ¿de acuerdo? Y que no son miembros del sistema de la Reserva Federal y actúan como el principal regulador federal de muchos bancos comunitarios, ¿verdad? Y luego tenemos la oficina de la OC, que es la oficina de control de la moneda. Se trata de una oficina independiente dentro del Departamento del Tesoro de los Estados Unidos y regula los bancos nacionales y la Asociación Federal de Ahorros. Así que todos estos organismos interactúan entre sí, por lo que tenía mucho sentido que se reunieran y pensaran en cómo iban a ofrecer una orientación coherente, en lugar de tener matices ligeramente diferentes a medida que avanzaban en el proceso. Pasemos a la siguiente diapositiva, por favor. Así que, la orientación final de las agencias, a las que nos referiremos como «las agencias», emitió la orientación para promover prácticas sólidas de gestión de riesgos de terceros. Una vez más, la orientación final ofrece opiniones sobre los principios de gestión de riesgos para los bancos a la hora de desarrollar e implementar las prácticas de gestión de riesgos en todas las etapas del ciclo de vida de las relaciones con terceros. Ahora bien, esta orientación final también establece que una gestión sólida de los riesgos de terceros tiene en cuenta el nivel de complejidad del riesgo, el tamaño de la entidad bancaria y la naturaleza de la relación con terceros. Esto es muy importante, porque tener en cuenta el tamaño de la entidad bancaria va a ser realmente útil en términos de cómo están cumpliendo realmente con lo que está sucediendo. Así pues, las agencias publicaron esta guía conjunta para promover la coherencia en sus enfoques de supervisión, que sustituye a las directrices generales existentes de cada agencia sobre el tema y está dirigida a todos los bancos supervisados por todas estas agencias. Para que quede claro, las organizaciones bancarias utilizan terceros. No, ya saben, al utilizar un tercero, no se elimina la responsabilidad que tiene el banco en cuanto a cómo va a operar realmente. Por lo tanto, es muy importante que pensemos en lo que está pasando allí. Y, de nuevo, el uso de un tercero no va a disminuir ni eliminar las responsabilidades de la entidad bancaria de garantizar que las actividades se realicen de forma segura y sólida, y de conformidad con las leyes y reglamentos aplicables. Y lo que también está ocurriendo es que están rescindiendo y sustituyendo todas estas directrices que ven aquí, las directrices de la junta de 2013, las directrices de la FDIC de 2008 y la OC 213-29 y las preguntas frecuentes de 2020. Todas ellas han sido derogadas y ahora, a fecha de 6 de junio, se han publicado las directrices interinstitucionales definitivas. Así que llevamos poco más de un mes con esto, lo cual es bueno, y por eso es tan oportuno que tengamos esta conversación. Podemos pasar a la siguiente diapositiva.

Ashley: Hola, soy Joseph Ashley. Eh...

Ashley: Como sabéis, la agencia publicó unas directrices conjuntas para promover la coherencia en su enfoque. Estas directrices abordan los principios clave que los bancos pueden aprovechar a la hora de desarrollar e implementar los procesos de gestión de riesgos y estas unidades realmente... Oye, Joseph, ¿te importaría apagar la cámara? Parece que tu señal es un poco irregular. ¿Me oís?

Joseph Martínez: Lo siento. Problemas técnicos.

Joseph Martínez: Intentemos hacerlo con la cámara apagada y quizá así se solucione el problema de calidad. Espero que sí. Tengo mucho ancho de banda. De hecho, tengo una conexión muy rápida, así que no sé qué está pasando, pero sigamos adelante y continuemos. Bien. Cuando miramos esto, ya sabes, la orientación realmente tiene en cuenta lo que las empresas necesitan y lo que los bancos deben seguir. Y ya sabes, hay que entender que se trata de una orientación. No es necesariamente una ley que se va a aplicar. Y, además, si se recurre a un tercero, la responsabilidad del banco no desaparece. Sigue teniendo la obligación de garantizar que lo que está haciendo es realmente coherente con lo que estamos viendo. Pasemos a la siguiente diapositiva. Cuando miramos las directrices que se abordan, lo que realmente se analiza es cómo las entidades bancarias pueden establecer relaciones con terceros. Y, como todos sabemos, están surgiendo un montón de nuevos tipos de proveedores y nuevos tipos de empresas con las que los bancos están empezando a trabajar en el ámbito de la tecnología financiera. ¿Verdad? Por lo tanto, es importante que reflexionemos sobre lo que está pasando. Y ese segundo punto es realmente importante, ya que sabemos que existe una relación con terceros a pesar de la falta de contrato o remuneración. Creo que es algo realmente importante en lo que debemos pensar, debido a la forma en que se han hecho las cosas históricamente, ya que lo veíamos desde la perspectiva de los contratos. Lo veíamos en términos de lo que es ese tercero. Ahora, creo que lo estamos viendo desde una perspectiva un poco más amplia. Y creo que los principios que están estableciendo son realmente importantes para nosotros. Así que, de nuevo, un banco puede verse expuesto a impactos adversos, incluyendo pérdidas financieras sustanciales y trastornos operativos, si no gestiona adecuadamente los riesgos asociados a los terceros. Por eso esta guía es tan importante. Es importante que el banco identifique, evalúe, supervise y controle el riesgo relacionado con el tercero.

Joseph Martínez: relaciones. Esto es algo que, como saben, es un principio clave que se está estableciendo para que podamos reflexionar sobre ello. Pasemos a la siguiente diapositiva, por favor. Una vez más, no todas las relaciones presentan el mismo nivel de riesgo, ¿verdad? Las agencias han aclarado y simplificado las directrices y han eliminado detalles que, en algunos casos, eran redundantes, inútiles o podían interpretarse como excesivamente prescriptivos, ¿verdad? Al hacerlo, quieren que reflexionemos y pensemos que una actividad que es fundamental para una entidad bancaria puede no serlo para otra. Y esto nos lleva de vuelta a lo que dije antes, que están teniendo en cuenta el tamaño del banco. Así que ahora no están mirando a todo el mundo con el mismo rasero. Lo están mirando en función de lo que es apropiado para cada organización. Por eso es muy importante que pensemos detenidamente en lo que está pasando allí. Y, de nuevo, depende de cada entidad bancaria identificar sus actividades críticas y sus relaciones con terceros que respaldan esas actividades críticas, porque va a ser diferente en función del apetito de riesgo y la metodología de riesgo que emplee ese banco. Por lo tanto, creo que es un buen punto de aclaración que debíamos examinar. Pasemos a la siguiente diapositiva. Las agencias también querían reiterar que la guía se creó basándose en principios, ¿verdad? Cuando dicen que la guía se creó basándose en principios, lo que quieren decir es que la guía se basa en un conjunto de normas, reglas o valores fundamentales que proporcionan un marco para la toma de decisiones y las acciones. Así que, en lugar de dar reglas e instrucciones prescriptivas detalladas, los reguladores están estableciendo un conjunto de principios que las organizaciones deben cumplir, ¿verdad?

Joseph Martínez: Y, de nuevo, cuando echamos un vistazo a esto, se trata de opiniones de alto nivel en cuanto a lo que están diciendo, pero, ya sabes, las agencias realmente están tratando de decir: «Vale, tenéis que apoyar un enfoque basado en el riesgo para que vuestras organizaciones bancarias evalúen el riesgo que plantean vuestros terceros y, a continuación, tenéis que adaptar vuestro proceso de gestión de terceros en consecuencia, de modo que lo que estáis haciendo es situar esto en el contexto adecuado para lo que estáis haciendo y es casi como resolver un cubo de Rubik, ¿verdad? Por lo tanto, es importante involucrar al personal con los conocimientos y habilidades necesarios en cada etapa de la gestión de este ciclo de vida. Así que lo que te dicen que hagas es que realmente tienes que involucrar a los expertos de múltiples disciplinas de tu organización, ya sease trate de asesores jurídicos, de cumplir con los requisitos de riesgo, de ver el lado tecnológico, etc. Por lo tanto, creo que es muy importante contar con expertos de múltiples disciplinas y comprender que un banco utiliza servicios de evaluación de terceros, como Trusite, por ejemplo, queutilizan como utilidad, por lo que, si su banco utiliza uno de estos como acuerdo comercial, dicho acuerdo debe incorporarse al proceso de gestión de riesgos de terceros del banco. Así que el hecho de que se externalice algo no significa que no haya que analizarlo adecuadamente desde la propia perspectiva, por lo que es realmente fundamental identificar las actividades que respalda la relación con terceros y, en particular, que una actividad que es fundamental para una entidad bancaria puede no serlo para otra. Por lo tanto, es importante que tengamos en cuenta todo esto. Pasemos a la siguiente diapositiva, por favor. Ahora queremos hablar de la definición de las etapas del ciclo de vida de los terceros. Todos los que llevamos más de un año dedicándonos a esto probablemente entendemos lo que es, pero lo vamos a repasar ahora porque ahora hay una alineación entre las agencias en cuanto a lo que es.

Joseph Martínez: Pasemos a la siguiente diapositiva. Como pueden ver, se trata de una diapositiva antigua, pero en realidad está tomada directamente de la nueva guía. Bien, originalmente fue publicada por la OC. Pero ahora ha sido modificada y adaptada tanto por la junta, la FDIC y la OCC como las etapas del ciclo de vida de la gestión de riesgos. Así que ya saben que tienen la planificación, la diligencia debida y la selección de terceros, tienen la negociación del contrato, la supervisión continua y, obviamente, la terminación al final de ese proceso. Esto significa que ahora tenemos un proceso estándar repetible, evaluaciones cualitativas y cuantitativas, sabemos que tenemos un tratamiento de riesgos coherente y que necesitamos ajustar nuestra carga de trabajo para contratar a las personas adecuadas en el momento adecuado si queremos cumplir con la nueva normativa, así que me alegro de que se hayan puesto de acuerdo y hayan adoptado un punto de vista específico, porque creo quees realmente importante para nosotros pensar en ello, así que ¿por qué no pasamos a la siguiente diapositiva? Queremos examinar los requisitos que las organizaciones deben abordar en cada etapa del ciclo de vida y han sido muy buenos a la hora de proporcionar esa orientación. Una vez más, no es prescriptivo, pero créanme, van a venir y van a querer echarle un vistazo. Así que, al pasar a la siguiente diapositiva, empecemos con todo ese proceso de planificación. ¿De acuerdo? Cuando empezamos a pensar en la planificación, fui muy prescriptivo al entrar en la normativa real y en la orientación, y al recopilar la información para ustedes. No quiero repasar cada uno de estos puntos en detalle porque van a recibir una copia de la presentación, pero quiero que puedan comprender realmente que esto es lo que hay en ese documento, ¿de acuerdo? Y así, la orientación, ya saben, realmente aborda cómo van a pensar en la planificación y saben lo que deben tener en cuenta y cómo van a gestionarlo.

Joseph Martínez: Y así, cuando hablan de comprender el propósito estratégico del acuerdo comercial, hay que entender cómo se alinea el acuerdo con los objetivos estratégicos generales de la organización, los objetivos, la propensión al riesgo, el perfil de riesgo y las políticas corporativas más amplias. Hay mucha información que analizar, pero eso es lo que intentan que pienses, ya sabes, quieren que, cuando identifiques y evalúes los beneficios y los riesgos asociados al acuerdo comercial, determines la forma más adecuada de gestionar esos riesgos identificados. Por lo tanto, no basta con identificar los riesgos. Hay que aceptarlos o mitigarlos. Y por eso quieren que pienses en ello. Así que, mientras consideras la naturaleza del acuerdo comercial, quieren que pienses en ello de forma holística y que lo hagas en términos de dónde se lleva a cabo realmente la actividad, ¿verdad? Porque, de nuevo, cuando miras lo que están diciendo, quieren que pienses realmente en cómo vas a poner en marcha tu programa y cómo se lleva a cabo el trabajo en ese lugar, y si hay requisitos normativos locales o globales que se están imponiendo al respecto. Así que, cuando veas el número tres, donde dice que hay que tener en cuenta la naturaleza de los acuerdos comerciales, como el volumen de actividad, el uso de subcontratistas, la tecnología necesaria, la interacción con los clientes y el uso de terceros con sede en el extranjero. Eso es nuevo y es fundamental, ¿verdad? Cuando se habla de terceros con sede en el extranjero, se refiere a terceros que prestan servicios a sus operaciones y que se encuentran en un país extranjero, en el extranjero o cerca de la costa, ¿verdad? Y están sujetos a las leyes y jurisdicciones de ese país. Por lo tanto, este término no incluye a las filiales de empresas extranjeras con sede en Estados Unidos, ya que hay operaciones de prestación de servicios que están sujetas a las leyes estadounidenses. Así que realmente quieren pensar detenidamente en cómo lo están haciendo en la práctica.

Joseph Martínez: Y creo que eso es realmente importante. Y, de nuevo, cuando analizamos cómo estamos evaluando cómo la relación con terceros podría afectar a los empleados de la entidad bancaria, incluidos los empleados duales, ya sabes, y cuáles son los pasos de transición necesarios para que el banco gestione los impactos cuando las actividades que se llevan a cabo actualmente, ya sabes, se externalizan internamente, ¿verdad? Por lo tanto, quieren que pienses en estas cosas y que demuestres que tienes un plan tangible, que tienes el nivel adecuado de formación, que tienes el nivel adecuado de diligencia debida tanto en lo que respecta a la persona como al servicio y a la empresa. Así que, ya sabes, creo que se están volviendo muy buenos en lo que respecta a establecer el marco. Luego, tienes que tomar ese marco y traducirlo a tu programa. Siguiente diapositiva, por favor. Continuando con este tema en términos del grado de riesgo y complejidad. Ya sabes, de nuevo, evaluar el impacto potencial de un tercero en los clientes, ¿verdad? Bueno, esto incluye el acceso y el uso de la información del cliente, la interacción de terceros con los clientes, tus centros de atención telefónica, etc. Eh... el potencial de daño al consumidor y la gestión de las quejas y consultas de los clientes. Por lo tanto, quieren que piensen en eso. Es, ya saben, de nuevo, un punto muy importante, el número seis, pero requiere mucha implementación. Complejidad, ¿verdad? Y cuando decimos que entendemos las posibles implicaciones de la información o la seguridad, ¿verdad? Esto incluye el acceso al banco, a los sistemas del banco, ¿verdad? Y a información confidencial. Y esto es realmente crítico, especialmente con muchas de las violaciones de datos que estamos viendo ahora y que, en realidad, tienen su origen en la cadena de suministro, en lugar de en la propia organización. Por lo tanto, quieren que pensemos en eso.

Joseph Martínez: El número ocho es bastante importante cuando se piensa en comprender las posibles implicaciones para la seguridad física, y esto es algo que deben tener en cuenta: ¿van a tener acceso a las instalaciones del banco? ¿Van a venir al lugar? Sé que esto ha cambiado un poco desde... desde co, pero sabemos que todavía hay terceros que, para poder producir los bienes y servicios quenos proporcionan, tienen que venir a las instalaciones. Si echamos un vistazo, por ejemplo, al número 10, que determina la capacidad de la organización del banco para proporcionar una supervisión y gestión adecuadas de la relación propuesta con terceros de forma continua. Bueno, ya sabes, esto incluye si se cumplen los niveles de personal y la experiencia o la gestión de riesgos y los sistemas de gestión del cumplimiento, ¿verdad? Quieren asegurarse de que tienes el nivel adecuado de controles internos para tus sistemas. Ya sabes, que estás abordando de manera efectiva el acuerdo comercial que se ha reducido a escrito en el contrato y que realmente lo estás supervisando de manera adecuada. Así que, de nuevo, todo esto es parte de la planificación. Hay que pensar en esto antes de seguir adelante, si se quiere tener éxito en lo que se hace. Pasemos a la siguiente diapositiva, por favor. Cuando pensamos en la diligencia debida, que, como saben, incluye la planificación, hay que llevar a cabo la diligencia debida. Se trata de realizar la diligencia debida con los terceros antes de seleccionarlos y establecer una relación con ellos. Es importante y, como saben, es una parte fundamental de una gestión de riesgos sólida. De acuerdo. Por lo tanto, el proceso de diligencia debida proporciona al banco la información necesaria para evaluar si puede identificar, supervisar y controlar adecuadamente los riesgos asociados a la relación que va a establecer. Y esta diligencia debida incluye evaluar la capacidad del tercero para realizar la actividad según lo previsto.

Joseph Martínez: Ya sabes, cumplir con las políticas bancarias o, bueno, ya sabes, si son capaces de cumplir con las leyes y normativas aplicables, llevar a cabo sus actividades de forma segura y responsable. Se trata de analizar su viabilidad financiera. Se trata de examinar, ya sabes, sus perfiles de calcetines, etc. Así que realmente se trata de reflexionar, ya sabes, y por eso las agencias no creen que sea apropiado que un banco reduzca la diligencia debida basándose únicamente en el tipo de entidad de terceros. Hubo muchos comentarios al respecto durante el periodo de comentarios, y basándose en algunos de ellos, la gente quería decir cómo podríamos reducir la carga de la diligencia debida en función del tipo de entidad tercera con la que tratamos, y eso, como pueden ver, no fue aceptado, así que, ya saben, cuandose echa un vistazo a la guía, también se indica que, al evaluar el riesgo de una relación con un tercero, un banco puede tener en cuenta la información disponible de diversas fuentes, por lo que te dicen que no te limites a confiar en lo que puedes hacer internamente, sino que eches un vistazo a lo que hay ahí fuera, pero cuando miras las cosas que hay ahí fuera, tienes que asegurarte de que realmente las entiendes y de que estás utilizando esa información. Pero el hecho de utilizar esa información externa no reduce su responsabilidad como organización de asegurarse de que realmente está llevando a cabo el nivel adecuado de diligencia debida y de que la información que está incorporando es, ya sabe, realmente responsabilidad de su organización gestionarla para que esté disponible. Así que, como sabes, la guía establece que, en determinadas circunstancias, los bancos deben considerar la posibilidad de tomar medidas para mitigar los riesgos o, si los riesgos no pueden mitigarse, deben determinar si se aceptan los riesgos residuales, lo que significa que debes tener una metodología de riesgo sólida y la capacidad de demostrarles de forma tangible que tienes control sobre lo que estás haciendo. Por lo tanto, creo que es realmente importante que pensemos por qué las agencias están haciendo esto.

Joseph Martínez: Lo hacen porque, si echamos la vista atrás desde 2008 hasta ahora, ha habido muchos problemas con terceros, por lo que quieren asegurarse de que aprovechan los conocimientos que han adquirido durante este último periodo de tiempo y los incorporan a las directrices, de modo que lo que están haciendo esproporcionar un nivel y un marco que podamos adoptar y poner en práctica correctamente, por lo que creo que es extremadamente importante que pensemos por qué lo hacemos y cómo se lleva a cabo. Una de las cosas que hizo la guía fue tener en cuenta algunos de los conceptos que aparecían en las preguntas frecuentes de la OC. De acuerdo. Y entonces tomaron esos conceptos e intentaron inculcarlos en las diferentes partes, ya sea en la planificación, la diligencia debida, etc. ¿Verdad? Y, bueno, la guía incorpora muchas de esas preguntas frecuentes en el proceso, de modo que lo que se hace ahora es que, en lugar de tener que consultar varios documentos, se dispone de una guía clara y coherente que ayuda a ver realmente lo que está pasando. Pero, al fin y al cabo, la guía hace hincapié en que es responsabilidad del banco identificar y evaluar los riesgos asociados a cada uno de sus terceros y adaptar la práctica de gestión de riesgos, una vez más, al tamaño de la organización, la complejidad de la organización, el perfil de riesgo que tienes y, obviamente, la naturaleza de las relaciones con terceros que estás estableciendo. Sin embargo, las agencias no han excluido ninguna relación específica con terceros del ámbito de aplicación de la guía. Y esa fue una de las cosas que se preguntó, cuando dijeron: «Bien, ¿podemos excluir las relaciones entre bancos? ¿Podemos excluir a las filiales, etc.?». Dicen que no excluyen ninguna relación específica con terceros del ámbito de aplicación de la guía. Pasemos a la siguiente diapositiva, por favor.

Joseph Martínez: Por lo tanto, cuando se analiza la diligencia debida, el alcance y el grado de la misma deben identificarse y documentarse, así como cualquier limitación de la misma, y deben comprenderse los riesgos de dichas limitaciones. Deben considerarse alternativas para mitigar ese riesgo, incluyendo la posibilidad de buscar una fuente diferente. ¿Correcto? Por lo tanto, la diligencia debida incluye evaluar la capacidad de terceros para realizar la actividad esperada, el cumplimiento de las políticas de la organización bancaria y las actividades relacionadas, así como el cumplimiento de todas las leyes y reglamentos aplicables y la realización de dicha actividad de forma segura y adecuada. Lo incluyo aquí y lo reitero porque, de nuevo, esto proviene directamente de la guía y es algo que todos los que hemos realizado gestión de riesgos de terceros durante más de un día sabemos que es una especie de fundamento básico de lo que se hace cuando se empieza a analizar desde una perspectiva de diligencia debida. Pero esto es algo que, como saben, han vuelto a enfatizar, han vuelto a inculcar en lo que está sucediendo. Y creo que es realmente importante que pensemos en cómo funciona eso en realidad. Así que, si podemos pasar a la siguiente diapositiva, por favor. Cuando miras esto, hay 14 áreas diferentes de enfoque y diligencia debida que han publicado. Y, de hecho, han incluido bastante información debajo de cada una de ellas. Las he puesto aquí porque creo que es importante que pensemos en lo que querían que pensáramos y en la revisión que debemos realizar. Y si lo piensan, si sus programas actuales no se encuentran realmente en la fase de diligencia debida que aborda cada una de estas 14 áreas, probablemente vayan a tener un problema. Probablemente vayan a recibir un MRA o un MIR, etc. Por lo tanto, es importante que piensen en esto y en cómo implementarlo realmente, ¿verdad?

Joseph Martínez: Porque cuando analizas cada uno de estos aspectos, es muy importante fijarse, por ejemplo, en la situación financiera que has observadohas visto, sabes que se trata realmente de una evaluación de la viabilidad financiera de terceros, ¿verdad? Por lo tanto, esta información procedente de los estados financieros, los informes anuales o los documentos presentados ante la Comisión de Valores y otros organismos se utiliza para ayudar a evaluar la capacidad financiera y la estabilidad del proveedor con el que trabajas, por lo que sabes que hay que dedicar mucho esfuerzo a cada uno de estos aspectos. Les animo a todos a que reflexionen sobre cómo su programa actual está abordando estos aspectos. Y si no lo está haciendo de una manera lo suficientemente sólida, les animo a que piensen en cómo abordar realmente esta cuestión. Y luego, mientras examinan las herramientas que respaldan su programa, asegúrense de que realmente pueden decir: «Bien, ¿cómo puedo hacer un seguimiento e informar con mi herramienta sobre estas áreas?». Porque creo que es muy importante que pensemos en eso, ¿verdad? Y parte de esto se va a hacer fuera de línea. Mucho de esto se puede hacer a través de las herramientas, pero creo que es realmente importante. Creo que una de las áreas en las que realmente están haciendo hincapié ahora es, si miras el número E, las cualificaciones y antecedentes del personal clave y otras consideraciones de recursos humanos, una declaración amplia, pero lo que quieren hacer es examinar las cualificaciones y la experiencia de los principios de terceros y otro personal clave. Así que ahora nos piden que hagamos un doble clic, ¿verdad? Y nos piden que hagamos un análisis realmente profundo de quiénes son los miembros del personal con los que realmente se relaciona dentro de ese tercero, ¿verdad? Y, bueno, si no lo está haciendo hoy en día, probablemente sea un aspecto que deba abordar, ¿no? Y otra consideración es si el tercero cuenta con la formación necesaria para garantizar que sus empleados comprendan sus deberes y responsabilidades.

Joseph Martínez: Y luego, el conocimiento sobre las leyes y regulaciones aplicables que se aplican a lo que están haciendo por su parte, ¿verdad? Y por eso creo que tenemos que replantearnos realmente lo que hemos hecho históricamente, que creo que ha sido genial. En realidad, se trata de darle doble clic y hay algunas instituciones que realmente solo han tenido un impacto nominal por parte de su regulador en términos de lo que han tenido que hacer por parte de terceros. Así que gran parte de esto va a ser realmente nuevo para ellos. Mucho de esto va a ser como: «Dios mío, ¿cómo voy a hacer el flujo de trabajo en torno a esto? ¿Cómo voy a poder demostrarlo de forma tangible? Bueno, de nuevo, estas cosas son directrices. Estas directrices se están publicando de nuevo para que podamos pensar en cómo podemos elaborar un programa de forma muy convincente y concisa, y ese programa tendrá que fluir desde la junta directiva de cada una de estas organizaciones. Así que, ya sabes, hay mucho trabajo por hacer ahí, eh, cuando piensas en ello, así que, um, te animaría a que pensaras detenidamente en cada una de estas áreas. Vean la guía y, como saben, es importante revisar y comprender lo que se pide y, cuando lo hagan, sabrán qué pueden utilizar desde el punto de vista tecnológico para que esto sea mucho más resistente y fácil de usar, y se asegurarán de que tienen la capacidad de cumplir realmente con lo que establecen estas directrices. Pasemos a la siguiente diapositiva. Ahora pasamos de la planificación a la diligencia debida y ahora vamos a la negociación de los contratos, y de nuevo, si pueden echar un vistazo, se trata de mucha información estándar que han tomado de varias revisiones que han realizado a lo largo de los años, a partir de la información que obtuvieron de los comentarios de las diversas inspecciones que han realizado, y todo esto se hace básicamente para ayudarles a decir: «Bien, esto es lo que creemos que deben tener en cuenta».

Joseph Martínez: Ahora, vamos a evaluarte en función de eso, ¿verdad? Por lo tanto, al negociar un contrato, es útil que el banco aclare e identifique los derechos y responsabilidades de cada parte, y hay que asegurarse de que realmente se está haciendo eso. Por lo tanto, será importante contar con un MSA estándar o un acuerdo marco de compra, etc., ¿verdad? Y será importante asegurarse de que realmente se incluyen en él puntos de referencia para medir el rendimiento. Así que hay que definir claramente las medidas de rendimiento para poder evaluar realmente el rendimiento del tercero, y esto es fundamental en los acuerdos de nivel de servicio entre el banco y el tercero, donde hay que poder demostrarles que estas son las medidas y las expectativas que tenemos para ambas partes, y luego hay que poder demostrar de forma tangible que estamos incluyendo el rendimiento, el cumplimiento de las políticas y procedimientos, el cumplimiento de las leyes aplicables, y todo ello se refleja en ese proceso. Más adelante, cuando se llegue a la supervisión continua, todo esto se hará realidad. Pero si no lo tiene en cuenta y no lo incluye en el contrato, le resultará difícil conseguir el nivel adecuado de cumplimiento por parte de sus terceros, ¿verdad? Así que, de nuevo, es importante tener en cuenta las disposiciones del contrato que especifican la obligación del tercero en cuanto a lo que necesitas que haga, cuándo necesitas que lo haga, cómo necesitas que te informe y, a continuación, qué derechos tienes como banco para intervenir y, ya sabes, supervisar su riesgo, supervisar su rendimiento y abordar las cosas que deben proporcionarle en términos de informes, datos y acceso. Ya sabe, todas las cosas que va a necesitar para que el programa tenga éxito. Si no las incluye en su contrato, le resultará muy difícil poder hacerlo. Y cuando los reguladores intervengan y lo vean, dirán: «Bueno, esto es interesante».

Joseph Martínez: Me estás diciendo que haces esto, pero no puedes mostrarme cómo lo haces realmente, ya que no tienes una cláusula de auditoría como ejemplo en tu contrato. Por lo tanto, es muy importante ayudar, ya sabes, asegurarse de que se supervisa este rendimiento, que se pone por escrito, que también se incluyen disposiciones para auditorías independientes que se pueden incluir allí o, si tienen subcontratistas, que se tiene la posibilidad de entrar y echar un vistazo a lo que están haciendo. Así que, a medida que revisa todo esto, hay mucha información que se incluye. Lo he resumido en estos puntos, pero detrás de cada uno de ellos hay páginas y páginas dentro de la normativa real. Y, en esencia, lo que realmente hay que entender es el coste y la compensación, ¿no? Los contratos que describen claramente todos los costes y los acuerdos de compensación ayudan a reducir los malentendidos y las disputas sobre los edificios, y contribuyen a garantizar que todos los acuerdos de compensación sean coherentes con las prácticas bancarias sólidas y las leyes aplicables. ¿Verdad? Así que se podría seguir hablando sin parar de lo que quieren que pienses, pero es importante que lo veas como una guía rápida y te preguntes: «¿Mis plantillas de contratos principales abordan estos aspectos?». Y si la respuesta es no, probablemente tengas que hablar sobre lo que vas a hacer. Pero, de nuevo, no lo mires solo desde una perspectiva superficial. Tienes que profundizar y comprender cuáles son las directrices que están estableciendo, porque esa es la expectativa mínima que tienen en relación con lo que quieren que pienses. Y, ya sabes, es muy importante que estas disposiciones sean realmente sólidas y, de nuevo, van a examinar cuál era tu acuerdo maestro y cuál fue el acuerdo realmente ejecutado.

Joseph Martínez: Entonces, quieren echar un vistazo a... Sí, me dices que había una cláusula de subcontratación, pero cuando miro el acuerdo firmado, veo que en realidad se negoció su eliminación. De acuerdo. Una vez más, esto es un trabajo en equipo. No es solo responsabilidad del equipo de gestión de riesgos de terceros. No es solo responsabilidad de la empresa, ni solo de la organización de compras o del departamento jurídico. Hay muchos actores que deben abordar esto para asegurarse de que lo que estamos haciendo es garantizar que se cumplan estas cláusulas contractuales, que se incluyan en los contratos y que podamos demostrarlo. A medida que avanzamos, un área clave que ellos analizarán y que han analizado durante muchos años. Yo solía gestionar los seguros corporativos, que es un área que realmente quieren examinar, ¿verdad? Y quieren entender, ya sabes, cuáles son los requisitos que estás imponiendo a tus terceros para mantener los tipos y cantidades de seguro especificados, ¿verdad? Y también quieren asegurarse de que, ya sabes, ¿estás siendo nombrado como asegurado adicional? Y si no es así, vale, ¿por qué no? Así que hay que pensar que no se trata solo de tener una revisión alta, sino de cómo se pone en práctica para poder superar eso, y una área concreta en la que se van a centrar mucho es la subcontratación, porque quieren entender lo que se está transmitiendo a esas otras organizaciones, porque hay mucho trabajo que hacer. Por cuestiones de tiempo, pasemos a la siguiente diapositiva, por favor. De acuerdo. Lo que las agencias están tratando de hacer aquí no es fomentar un enfoque específico para la supervisión continua, sino más bien orientar a los bancos para que piensen en la supervisión continua como cualquier otro proceso de gestión de riesgos de terceros. Por lo tanto, quieren que pienses en cómo se relaciona esto con tu programa, la complejidad de tu organización y el perfil de riesgo de tu organización, ¿verdad?

Joseph Martínez: Y al hacer esto, quieren que pienses que la supervisión continua se puede llevar a cabo de forma periódica o continua. No dicen ninguna de las dos cosas. O han visto que se puede hacer de ambas formas y que una supervisión más exhaustiva o frecuente es adecuada cuando la relación con terceros respalda actividades de mayor riesgo. Así que, de nuevo, tienes que tener una metodología para poder determinar cuál es la importancia real de la actividad y cuál es la importancia del proveedor, de modo que sepas que tu supervisión continua se va a basar básicamente en ese nivel de riesgo, porque, de nuevo, si tienes algo crítico, probablemente tendrás una visión mucho más profunda en términos de lo que quieres gestionar desde la perspectiva de la supervisión continua. Si se trata de un elemento de bajo riesgo, habrá diferencias variables y te darán esa libertad para asegurarse de que, si realmente tienes el nivel adecuado de metodología y si tienes un apetito de riesgo declarado, quieren asegurarse de que cualquier cosa que esté por encima de tu apetito de riesgo se supervise de forma significativamente diferente a cualquier cosa que esté dentro del apetito de riesgo o por debajo de él. Pasemos a la siguiente diapositiva, por favor. Esto es una especie de continuación de la supervisión continua. Y, de nuevo, cuando vean esto, solo les está diciendo lo que ellos creen que deberían tener en cuenta al pasar por esto. Y, de nuevo, la guía establece que las organizaciones bancarias pueden considerar acuerdos de colaboración o el uso de terceros para ayudar a complementar la supervisión continua. Esto es algo nuevo, ya que se puede recurrir a un tercero para que le ayude en ese proceso. Pero, de nuevo, debe asegurarse de que ese tercero cumple realmente con los estándares que usted tiene. ¿De acuerdo?

Joseph Martínez: Porque, bueno, cuando se analiza, se ve que lo que el monitoreo continuo le permite hacer al banco es, bueno, ya sabes, que necesitan analizar tanto el nivel como los tipos de riesgos, porque eso puede cambiar a lo largo de la relación, ¿no? Y entonces puede que tengas que adaptar tus prácticas de monitoreo continuo en consecuencia. Así que puede que haya cambios en la frecuencia, el tipo de información o el nivel de supervisión que estás llevando a cabo en función de la naturaleza de la evolución de esa relación con terceros que tienes. Y ahora pasemos a la siguiente diapositiva, por favor. Así podrás empezar a ver la complejidad de los riesgos y lo que intentan impulsar, ¿verdad? Y así, cuando empiecen a examinar las revisiones de lo que está sucediendo, ellos quieren que puedan obtener cierta eficiencia, pero también quieren asegurarse de que lo que están haciendo sigue un proceso que realmente les ayude a garantizar el cumplimiento, ¿verdad? Así que lo están exponiendo aquí de forma muy eficaz. Cambios en la situación financiera de terceros, incluidas las obligaciones financieras con otros. Una vez más, puedes demostrarlo con tu evaluación de riesgos de viabilidad financiera. Si lo haces de forma periódica, no lo hagas solo al principio, cuando estás en la fase de diligencia debida. Tienes que hacerlo de forma continua, ¿verdad? O auditorías relevantes, resultados de pruebas y otros informes que aborden si el tercero sigue siendo capaz de gestionar los riesgos y cumplir con las obligaciones contractuales y los requisitos reglamentarios. ¿Verdad? Así que tienes que pensar en cómo demostrar realmente al regulador, demostrar a la junta directiva lo que estás tratando de hacer, porque este cumplimiento es realmente importante. Y, de nuevo, no lo establecen de forma prescriptiva, sino de una manera general que tiene sentido lógico. Y luego depende de usted incorporarlo a su programa y traducirlo en acciones, actividades e informes para poder demostrarlo, y de nuevo todo se reduce al nivel de complejidad que tenga.

Joseph Martínez: Todo se reduce a cuáles son los factores que vas a tener en cuenta al hacerlo. Pasemos a la siguiente diapositiva, por favor. Como ya sabes, todo esto es una continuación de lo que acabo de comentar y, como sabes, hay que asegurarse de que se cuenta con el nivel adecuado de formación, si lo que estás diciendo es la formación impartida a los empleados de la entidad bancaria y a terceros. Bueno, ¿cómo lo demuestras? ¿Puedes demostrarme que realmente está sucediendo? ¿Verdad? Ya sabes, de nuevo, ¿tienes cláusulas de confidencialidad? ¿Tienes cláusulas de transferencia que se aplican a ese tercero? ¿Verdad? ¿Qué ocurre con la respuesta de los terceros ante incidentes o con la continuidad del negocio? Esto es realmente importante, porque cualquier cosa que pueda poner en peligro las operaciones de su organización debe ser... No se puede decir simplemente: «Bueno, pensábamos que tenían un plan de continuidad del negocio, pero nunca lo probamos». Bueno, en mi carrera, he visto, hace muchos, muchos años, que había planes de continuidad del negocio muy bonitos, pero que en realidad no tenían nada detrás. Eran presentaciones de PowerPoint estupendas en ese momento, pero cuando llegaron las inundaciones, cuando ocurrieron los terremotos, los terceros te dejaron un poco en la estacada porque realmente no tenían el nivel de planes y detalles que realmente fueran viables. Por eso es tan importante tenerlos por escrito, revisarlos y supervisarlos periódicamente, acudir al lugar y asegurarse de que se cumplen. A medida que avancemos en la siguiente diapositiva, verán que, dado el enfoque de principios generales que tiene la guía, las agencias no la han revisado para abordar temas específicos o tipos de relaciones. Bien, es importante tenerlo en cuenta. Entonces, ¿ya existen directrices separadas sobre ciertos temas o relaciones en otras directrices? Y este tipo de cuestiones específicas de las directrices, a menos que se rescinda expresamente, no se ven afectadas por esta nueva guía.

Joseph Martínez: Entonces, si tienen algo ahí fuera relacionado con lo que está sucediendo con la ciberseguridad, eso no se inculca aquí, esas cosas siguen estando ahí. Así que, de nuevo, esto es solo mirar lo que hay que tener en cuenta desde una perspectiva de supervisión continua. Ahora llegamos a la quinta parte de la siguiente diapositiva del ciclo de vida. Es la terminación, ¿verdad? Y, como saben, siempre me gusta pensar en ello. Es la terminación o la renovación de la terminación, ¿verdad? Entonces, entonces, entonces, ya saben, un banco puede terminar una relación por varias razones. Podría haber llegado a su fin natural y haber expirado el contrato. Podría haber un incumplimiento del contrato. Podría haber un tercero que incumpla las leyes o normativas aplicables o, ya sabes, podrías querer buscar un proveedor diferente por cualquier motivo. O tal vez quieras internalizar esa actividad o, en algunos casos, interrumpirla. ¿Verdad? Por lo tanto, cuando esto ocurre, es importante que la dirección de la organización rescinda las relaciones de manera eficiente y eficaz, tanto si las actividades se transfieren a otro tercero como si se internalizan o se interrumpen. Hay que pensar en todo esto y por eso se han establecido los costes y las tasas asociados a esa rescisión. Ya sabes cómo vas a gestionar la propiedad intelectual conjunta, así que tienes que pensar en estas cosas en la fase del contrato, pero, en última instancia, se ejecutarán en la fase de rescisión. Por eso es muy importante que pensemos en ello. Pasemos a la siguiente diapositiva, por favor. Sé que se nos acaba el tiempo. Así que, ya saben, vamos a hacerlo a alto nivel. Y, de nuevo, dentro de un par de semanas profundizaremos más en esto, pero ahora queremos recomendar algunas buenas prácticas que las organizaciones y las industrias pueden seguir, ¿de acuerdo?

Joseph Martínez: Y cuando piensas en esto, sabes que hay varias prácticas recomendadas que las organizaciones de todos los sectores pueden seguir en relación con la gestión de riesgos de terceros, ¿verdad? Y una de ellas es, en realidad, saber quiénes son tus terceros, ¿no? Tienes que saber que debes dar prioridad a quiénes son tus proveedores, ¿verdad? Tienes que asegurarte de que estás supervisando a tus proveedores de forma continua y, ya sabes, ¿cómo se consigue eso? Tienes que automatizar tus procesos, ¿verdad? Y, por lo tanto, independientemente de cómo estructure el proceso la organización bancaria, estas prácticas de las que hablo son omnipresentes y deben pensarse en términos de supervisión y responsabilidad, revisiones independientes, documentación y presentación de informes. Y eso nos tranquilizará en cuanto a lo que estamos pensando, ¿verdad? Hay diferentes formas en que las organizaciones pueden hacer esto con sus procesos. Así que, la responsabilidad recae en la línea de negocio y, desde la perspectiva de la primera línea de defensa, pero la organización bancaria... He visto casos en los que los bancos han centralizado este proceso y, a veces, es por motivos de cumplimiento, a veces es por motivos de seguridad de la información, a veces es por motivos de adquisición, a veces es por otras funciones de riesgo, pero, de nuevo, es muy importante para nosotros pensar en madurar ese programa, establecerlo y hacer que sea auditable. Y entonces, si pasamos a la siguiente diapositiva, esto comienza en la junta directiva, ¿verdad? Y al final del día, la junta directiva es responsable de establecer realmente cómo será esa visión, ¿verdad? Por lo tanto, las relaciones que tienen son realmente importantes para nosotros, ¿verdad? Por lo tanto, una supervisión y una rendición de cuentas adecuadas son aspectos importantes de cualquier programa, ya sea de gestión de riesgos de terceros o no, ¿verdad? Y así, la junta directiva del banco tiene esa responsabilidad última y lo que hace es exigir responsabilidades a la dirección al respecto. ¿Verdad?

Joseph Martinez: Entonces, la junta directiva proporcionará una orientación clara y le ayudará a establecer cuál es el nivel de riesgo aceptable, aprobará las políticas y se asegurará de que se establezcan los procedimientos y prácticas adecuados. Pero, al fin y al cabo, ellos ven las cosas desde una perspectiva lo suficientemente elevada y con el nivel de independencia necesario para ayudar a dirigir el barco hacia donde debe ir. Por lo tanto, al desempeñar sus funciones, el consejo o el comité designado suelen tener en cuenta muchos de los factores que se ven aquí. Ya sabes, si la relación con terceros se gestiona de manera coherente con los objetivos estratégicos o la visión del banco, etc. Por lo tanto, establecen cuál es su visión y cómo debe abordarse. Si pasas a la siguiente diapositiva, verás que la dirección tiene que ponerlo en práctica, ¿verdad? Por lo tanto, la dirección tiene realmente esa responsabilidad de gobernanza y supervisión, y es muy importante que así sea. He vuelto a enumerar estas cosas, ustedes recibirán una copia de esto, no quiero repasar cada una de ellas específicamente, pero es importante que tengan algo así como un comité de gestión de riesgos de terceros, que sepan que están integrando la gestión de riesgos de tercerosen el proceso general de gestión de riesgos de la organización bancaria, que los contratos con terceros se revisan, aprueban y ejecutan adecuadamente, de modo que no se trata solo de que alguien firme un papel. En realidad, hay una reflexión basada en el nivel de riesgo, en el importe en dólares y en la complejidad. Por lo tanto, lo que se hace es que la dirección se encarga de crear este proceso para garantizar que funcione. Um, y luego, si pasamos a la siguiente diapositiva, por favor, es aquí cuando se empieza a pensar en revisiones independientes, ¿verdad? Por lo tanto, es importante que las entidades bancarias realicen revisiones independientes periódicas para evaluar la idoneidad de sus procesos de gestión de terceros. Y ya sabes, aquí es donde realmente se pone a prueba, porque entra en juego tu tercera línea de defensa.

Joseph Martínez: Están analizando cómo se está estableciendo realmente su organización y si cumple con lo que usted sabe, si está haciendo lo que dice que va a hacer y si lo está haciendo bien, y si lo está haciendo con un nivel de sofisticación que no solo va a cumplir con los requisitos mínimos, sino que realmente va a tener un programa que le ayudará a reducir y comprender los riesgos que tiene. Así que usted sabe que la dirección va a utilizar los resultados de esta revisión independiente para determinar si debe ajustar su proceso y programa de gestión de riesgos de terceros y cómo hacerlo. ¿Necesitamos cambiar nuestras políticas? ¿Y nuestros informes? ¿Contamos con el nivel adecuado de recursos y el nivel adecuado de experiencia? ¿Tenemos el nivel adecuado de controles? Por lo tanto, es importante que la dirección responda con rapidez y exhaustividad a cualquier problema o preocupación que se identifique y, a continuación, lo remita al consejo de administración según corresponda. Una vez más, hay muchos detalles detrás de esto, pero quería asegurarme de señalarlo para que lo tengamos en cuenta. Por cierto, esto es aplicable a todos los sectores. No es solo para los bancos. Ya sabes, se trata de una práctica sensata. Y si pasamos a la siguiente diapositiva, pensamos en la documentación y la presentación de informes, ¿verdad? Hay muchas cosas aquí, pero la documentación y la presentación de informes son realmente los elementos clave que ayudan, ya sabes, a quienes están dentro y fuera de una organización a llevar a cabo y controlar las actividades. Así que, dependiendo del riesgo y la complejidad de las relaciones con terceros, habrá muchas actividades diferentes que deberán llevarse a cabo. Cuando hablamos del inventario actual de todas las relaciones con terceros, sabemos que eso nos ayuda a identificar claramente aquellas relaciones que están asociadas a actividades de mayor riesgo, incluidas las actividades críticas.

Joseph Martínez: Entonces, si no tienes una forma de demostrar de manera tangible cuál es tu inventario y que lo tienes en ese inventario, entonces se compara con tu metodología para poder determinar, a través de tu proceso de evaluación de riesgos, si tienes algo que está por encima de tu apetito de riesgo. Probablemente no acabará bien para el grupo. También es importante informar periódicamente a la junta directiva. Esto es aplicable a cualquier dependencia que tengas de un único proveedor. Si hay múltiples actividades con un proveedor que tiene problemas financieros. Um, ya sabes, si alguno de tus proveedores ha sufrido, por ejemplo, um, um, ciberataques y ese tipo de cosas, ¿verdad? Por lo tanto, es muy importante que pienses en cómo tienes el nivel adecuado de planes de remediación, ya sabes, quién es el responsable de los tipos de informes que se están produciendo, ya sabes, de terceros, etc. Y um, ya sabes, si echamos un vistazo a la siguiente diapositiva, por favor. En realidad, cada agencia revisará la gestión de riesgos de las organizaciones bancarias supervisadas y las relaciones con terceros como parte de su proceso estándar, ¿verdad? Las revisiones de supervisión evaluarán los riesgos y la eficacia de su gestión de riesgos y determinarán si sus actividades se llevan a cabo de forma segura y si realmente cumple con las leyes o normativas aplicables. Así que sus evaluaciones van a tener en cuenta lo que está haciendo al contratar a un conjunto diverso de terceros, porque no todas las relaciones con terceros presentan los mismos riesgos, y si realmente entiende cómo adaptar sus prácticas a los riesgos que se presentan y si realmente tiene un programa que sea tangible, medible y repetible. ¿Verdad? Bueno, ya sé que se nos acaba el tiempo. Pasemos a la siguiente diapositiva, por favor. ¿Me oís?

Scott Lang: Sí, te oímos, Joe.

Joseph Martínez: Bien. Bien. Sí. Bueno, una de las cosas en las que creo que deberíamos pensar es que, al revisar tus procesos de gestión de riesgos y evaluarlos, debes asegurarte de que todo lo que haces contribuye no solo a cumplir con la obligación de gestionar en nombre de tu empresa, sino también en nombre de tu cliente, ¿verdad? ¿Y cómo está diseñando realmente su proceso para proteger a sus clientes y proporcionar un acceso justo a sus servicios financieros? Por lo tanto, no se trata solo de ser prescriptivo. Se trata de cómo esto le permite realmente ganar dinero. ¿Cómo le permite esto ofrecer una mejor experiencia al cliente? Sé que se nos acaba el tiempo. ¿Por qué no pasamos a la siguiente diapositiva, por favor? Bueno, quería que pensaran en algunas de las mejores prácticas que la gente debe tener en cuenta. Y una de ellas es, ya saben, ¿cómo se establece realmente el nivel adecuado de marco? Así, cuando se tiene la supervisión y la gobernanza adecuadas, se dispone de las herramientas y los controles, y se cuenta con los análisis y los informes prácticos, ¿verdad? ¿Cómo se establece todo eso para que sea adecuado? Quiero pasar a algunas preguntas. ¿Por qué no pasamos a la siguiente diapositiva? Aquí se habla de las tres líneas de defensa. Si llevas más de un día en la banca, probablemente ya lo sabes, pero sigamos adelante y... He incluido esto aquí porque creo que es importante que pensemos en ese marco. Profundizaremos más en nuestra próxima sesión. Siguiente diapositiva. Esto es solo una serie de buenas prácticas recomendadas que pueden seguir las organizaciones de todos los sectores. Aquí tenemos un marco operativo de alto nivel. Estos son los riesgos que estamos analizando. Estos son los objetivos y, como ven, aquí tenemos una evaluación de riesgos de terceros y aquí están los compromisos de esa evaluación de riesgos y cómo podemos llevarla a cabo. Pasemos a la siguiente diapositiva, por favor. Aquí se trata de aprovechar los fundamentos para que podamos pensar realmente en ello. El segundo punto, que he marcado con un recuadro, es la segmentación y la incorporación, que son fundamentales, porque la clasificación de quiénes son sus socios y cómo se aplica realmente esa metodología va a ser realmente fundamental para saber cómo se va a poder llevar a cabo la gestión y la supervisión a lo largo de todo el ciclo de vida. Eh, siguiente diapositiva. Por lo tanto, tenemos que pensar más allá de los requisitos normativos, porque no se trata de marcar casillas, ¿verdad? Así que, como saben, hay que pensar en cómo proteger los conocimientos y la experiencia de su organización. ¿Ha creado alguna dependencia con un tercero que ahora se está convirtiendo en un problema para usted si le ocurre algo a ese tercero? ¿La calidad de su servicio es coherente de principio a fin con sus terceros? ¿Ha evaluado el coste total? ¿Hay algún coste adicional u oculto que debas tener en cuenta, porque hay lo que has puesto en el contrato y lo que has acordado, pero luego, cuando empiezas a volver y a poner en marcha tu programa, ves que tus proveedores van a oponerse a ello? ¿Y ha tenido en cuenta el aumento de los riesgos operativos? Porque todo eso es realmente importante para nosotros, porque si no lo tenemos en cuenta fuera de los requisitos reglamentarios, si no lo tenemos en cuenta en términos de cómo elaboramos realmente un programa, lo que acabamos haciendo es aumentar nuestro riesgo. No cumplimos con las directrices y, básicamente, esto afectará a nuestros beneficios por acción y a nuestra reputación en el sector. ¿Por qué no pasamos a la siguiente diapositiva? Pasemos a las preguntas y respuestas. Sé que he pasado bastante rápido por varias de estas diapositivas. Queríamos dedicar una segunda sesión a profundizar más en el tema, pero había muchísima información que quería cubrir, asegurarme de que todos pudieran verla, porque es muy importante que pensemos en esto. Porque estas nuevas directrices acaban de salir y, como saben, una vez que salen las directrices, en poco tiempo empezarán a salir y a ver cómo están abordando el programa con las nuevas directrices. Entonces, ¿tenemos alguna pregunta?

Ashley: Hola, gracias, Joseph. Eh, Scott, ¿tienes alguna reflexión final sobre esto? Lo siento, chicos. Sé que no hemos tenido tiempo para preguntas, pero Joseph hará una segunda parte en un próximo seminario web, y allí podremos abordar más información al respecto. Scott.

Scott Lang: No, nada más para mí. Podemos... podemos continuar.

Ashley: Muy bien. Muchas gracias a todos por asistir. Espero que tengan un buen día y un excelente fin de semana, y espero verlos en el próximo seminario web. Saludos.