El 6 de junio de 2023, las Agencias Reguladoras Bancarias Federales (Corporación Federal de Seguros de Depósitos (“FDIC”), la Junta de Gobernadores del Sistema de la Reserva Federal (“FRB”) y la Oficina del Contralor de la Moneda (“OCC”)) emitieron una Guía Final conjunta diseñada para ayudar a las organizaciones bancarias a gestionar los riesgos asociados con las relaciones con terceros, incluyendo las relaciones con empresas de tecnología financiera. Las agencias establecen en la Guía Final que el uso de terceros por parte de una organización bancaria puede aumentar su riesgo. No obstante, el uso de terceros no disminuye ni elimina la responsabilidad de una organización bancaria de realizar todas las actividades de manera segura y sólida, de conformidad con las leyes y reglamentos aplicables, incluyendo los relacionados con la protección del consumidor y la seguridad de la información del cliente. Las Agencias reconocen que una buena gestión del riesgo de terceros tiene en cuenta el nivel de riesgo, la complejidad y el tamaño de la organización bancaria y la naturaleza de la relación con terceros. La Guía Final pretende ser un recurso para ayudar a las organizaciones bancarias a implementar prácticas de gestión de riesgos de terceros al proporcionar ejemplos de consideraciones en las etapas de planificación, diligencia debida, negociación de contratos, monitoreo continuo y terminación de la gestión de relaciones con terceros.
La Guía Final establece que una organización bancaria puede estar expuesta a impactos adversos, incluyendo pérdidas financieras sustanciales e interrupciones operativas, si no logra gestionar adecuadamente los riesgos asociados con las relaciones con terceros. Como resultado, las Organizaciones Bancarias deben darse cuenta de que una Agencia puede usar su autoridad legal para examinar funciones u operaciones que un tercero realiza en nombre de una organización bancaria. Dichos exámenes pueden evaluar la capacidad del tercero para cumplir con sus obligaciones de manera segura y sólida y cumplir con las leyes y regulaciones aplicables, incluyendo las diseñadas para proteger a los clientes y proporcionar un acceso justo a los servicios financieros. Las Agencias pueden tomar medidas correctivas, incluyendo las acciones de cumplimiento, cuando sea necesario para hacer frente a las violaciones de las leyes y reglamentos o las prácticas bancarias inseguras o poco sólidas por parte de la organización bancaria o su tercero.
Descripción general
La Guía Final aborda cualquier acuerdo comercial entre una organización bancaria y otra entidad, ya sea por contrato o de otra manera. Puede existir una relación de terceros a pesar de la falta de un contrato o remuneración. Las relaciones con terceros pueden incluir, pero no se limitan a: servicios subcontratados, uso de consultores independientes, acuerdos de referencia, servicios de procesamiento de pagos comerciales, servicios proporcionados por afiliados y subsidiarias, y empresas conjuntas. Algunas organizaciones bancarias pueden formar relaciones de terceros con estructuras y características nuevas o novedosas, incluyendo las empresas de tecnología financiera. Las funciones y responsabilidades respectivas de una organización bancaria y un tercero pueden diferir, según las circunstancias específicas de la relación.
Gestión de riesgos
Las organizaciones bancarias deben participar en una supervisión y gestión más integral y rigurosa de las relaciones con terceros que respaldan actividades de mayor riesgo, incluyendo las actividades críticas como parte de su gestión de riesgos sólido. Las actividades críticas pueden incluir aquellas actividades que podrían:
- Causar que una organización bancaria enfrente un riesgo significativo si el tercero no cumple con las expectativas
- Tener impactos significativos en los clientes
- Tener un impacto significativo en la situación financiera o las operaciones de una organización bancaria
Ciclo de vida de la relación con terceros
La gestión eficaz del riesgo de terceros sigue un ciclo de vida continuo para las relaciones con terceros.
- Planificación: la planificación efectiva permite que una organización bancaria evalúe y considere cómo administrar los riesgos antes de entablar una relación con un tercero. Las organizaciones bancarias consideran: comprender el propósito estratégico del acuerdo comercial y cómo el acuerdo se alinea con las metas estratégicas generales, los objetivos, el apetito por el riesgo, el perfil de riesgo y las políticas corporativas más amplias de una organización bancaria; identificar y evaluar los beneficios y los riesgos asociados con el acuerdo comercial y determinar cómo gestionar adecuadamente los riesgos identificados. También consideran la naturaleza del acuerdo comercial, como el volumen de actividad, el uso de subcontratistas, la tecnología necesaria, la interacción con los clientes y el uso de terceros en el extranjero.
- Diligencia debida y selección de terceros: La diligencia debida incluye evaluar la capacidad del tercero para: realizar la actividad como se espera, adherirse a las políticas de una organización bancaria relacionadas con la actividad, cumplir con todas las leyes y reglamentaciones aplicables y realizar la actividad en una manera sana y salva. Una organización bancaria normalmente considera los siguientes factores, entre otros, como parte de la debida diligencia: estrategias y objetivos, cumplimiento legal y regulatorio, condición financiera, experiencia comercial, calificaciones y antecedentes del personal clave y otras consideraciones de recursos humanos, gestión de riesgos, seguridad de la información , gestión de sistemas de información, resiliencia operativa, informes de incidentes y procesos de gestión, seguridad física, dependencia de subcontratistas, cobertura de seguros y acuerdos contractuales con otras partes.
- Negociación del contrato: según el grado de riesgo y la complejidad de la relación con un tercero, una organización bancaria normalmente considera los siguientes factores durante las negociaciones del contrato: naturaleza y alcance del acuerdo, medidas de desempeño o puntos de referencia, responsabilidades para proporcionar, recibir y retención de información, derecho a auditar y solicitar reparación, responsabilidad por el cumplimiento de las leyes y reglamentos aplicables, costos y compensación, propiedad y licencia, confidencialidad e integridad, resiliencia operativa y continuidad comercial, indemnización y límites de responsabilidad, seguro, resolución de disputas, cliente Reclamaciones, Subcontrataciones, Terceros en el Extranjero, Incumplimiento y Terminación y Supervisión Regulatoria.
- Monitoreo Continuo: El monitoreo continuo permite a una organización bancaria: (1) confirmar la calidad y sostenibilidad de los controles y la capacidad de un tercero para cumplir con las obligaciones contractuales; (2) escalar problemas o inquietudes importantes, como hallazgos de auditorías repetidas o materiales, deterioro de la situación financiera, violaciones de la seguridad, pérdida de datos, interrupciones del servicio, fallas en el cumplimiento u otros indicadores de mayor riesgo; y (3) responder a dichos problemas o inquietudes importantes cuando se identifiquen. Las actividades típicas de monitoreo incluyen: (1) revisión de informes sobre el desempeño del tercero y la efectividad de sus controles; (2) visitas periódicas y reuniones con representantes de terceros para discutir cuestiones operativas y de rendimiento; y (3) pruebas periódicas de los controles de la organización bancaria que gestionan los riesgos de sus relaciones con terceros, particularmente cuando respaldan actividades de mayor riesgo, incluidas las actividades críticas.
- Terminación: una organización bancaria puede terminar una relación por varias razones, como el vencimiento o incumplimiento del contrato, el incumplimiento de las leyes o regulaciones aplicables por parte del tercero, o el deseo de buscar un tercero alternativo, traer la actividad internamente, o interrumpir la actividad. Cuando esto ocurre, es importante que la gerencia termine las relaciones de manera eficiente, ya sea que las actividades se transfieran a otro tercero, se traigan internamente o se suspendan.
Gobernanza
Las siguientes prácticas generalmente se consideran a lo largo del ciclo de vida de la gestión de riesgos de terceros, de acuerdo con el riesgo y la complejidad:
- Supervisión y responsabilidad
- Revisiones independientes
- Documentación e informes
Revisiones de supervisión de las relaciones con terceros
Al revisar los procesos de gestión de riesgos de terceros, los inspectores suelen realizar las siguientes actividades, entre otras:
- Evaluar la capacidad de la gerencia de la organización bancaria para supervisar y administrar las relaciones con terceros de la organización bancaria
- Evaluar el impacto de las relaciones con terceros en el perfil de riesgo de la organización bancaria y los aspectos clave del desempeño financiero y operativo, incluyendo el cumplimiento de las leyes y regulaciones aplicables.
- Realizar pruebas de transacciones o revisar los resultados de las pruebas para evaluar las actividades realizadas por el tercero y evaluar el cumplimiento de las leyes y reglamentaciones aplicables.
- Resaltar y discutir cualquier riesgo material y deficiencias en el proceso de gestión de riesgos de la organización bancaria con la alta gerencia y la junta directiva, según corresponda.
- Revisar los planes de la organización bancaria para la remediación adecuada y sostenible de cualquier deficiencia, particularmente aquellas asociadas con la supervisión de terceros que involucran actividades críticas
- Considerar los hallazgos de supervisión al asignar los componentes del sistema de calificación aplicable y resalte cualquier riesgo y deficiencia importante en el Informe de Inspección
¿Cómo gestiona su Organización Bancaria los Riesgos y Relaciones con Terceros?
¿Podría un regulador financiero determinar que existe una deficiencia en la gestión de sus Riesgos y Relaciones con Terceros?
¿Quién es su Asesor de Gobierno Corporativo? ©