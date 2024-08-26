O gerenciamento de risco de terceiros continua sendo uma prioridade para os reguladores federais e estaduais dos EUA, que recentemente impuseram ações de fiscalização contra instituições financeiras. Isso resultou em milhões em penalidades civis por violações da Lei de Sigilo Bancário (BSA) e por controles fracos de gestão de riscos de terceiros.
Ações recentes ilustram que os reguladores estão cada vez mais responsabilizando as instituições financeiras por seus relacionamentos com terceiros, incluindo entidades de fintech. As agências reguladoras esperam que as instituições estejam estabelecendo práticas baseadas em riscos para realizar a due diligence desses terceiros e monitorar, avaliar e controlar continuamente os riscos desses relacionamentos.
Ao longo dos últimos 18 meses, os reguladores aumentaram seu foco, emitindo orientações detalhadas e várias ordens de consentimento e gerenciamento de riscos de terceiros.
Em junho de 2023, o Escritório do Controlador da Moeda (OCC), o Conselho do Federal Reserve e a Federal Deposit Insurance Corporation (FDIC) divulgaram orientações interagências sobre o gerenciamento de riscos de terceiros para instituições financeiras. Essa orientação deve ser usada como um roteiro que estabelece a base das expectativas regulatórias. Seu objetivo é gerenciar efetivamente os riscos associados aos relacionamentos e às melhores práticas com terceiros.
Menos de um ano depois, o OCC emitiu uma ordem de consentimento contra um banco regional do Atlântico Sul após identificar pontos fracos em seu programa de gerenciamento de risco de terceiros.
O FDIC identificou uma fintech do nordeste do país envolvida em práticas bancárias inseguras e inadequadas. Ele emitiu uma ordem de consentimento relacionada, entre outras coisas, à falha do banco em ter controles internos e sistemas de informação adequados para seu tamanho. O pedido também abordou a natureza, o escopo, a complexidade e o risco de seus relacionamentos com terceiros.
O FDIC também emitiu uma ordem de consentimento instruindo um banco regional do centro-oeste a desenvolver políticas e procedimentos apropriados para o gerenciamento de risco de terceiros. Ela também apelou para a melhoria da due diligence e monitoramento de terceiros que completam responsabilidades de combate à lavagem de dinheiro (AML) e combate ao financiamento do terrorismo (CFT).
As instituições muitas vezes dependem de provedores de serviços terceirizados para executar seus controles de FCC. Historicamente, os serviços de terceiros limitavam-se à identificação de notícias negativas, triagem de sanções e monitoramento de transações. Recentemente, esses serviços se expandiram para incluir processos como verificação de identidade do cliente, revisão eletrônica de dados, inteligência artificial generativa em gerenciamento aprimorado de casos de due diligence, investigações de alertas e avaliações de risco.
As instituições podem ter um monitoramento rigoroso e contínuo dos processos internos. No entanto, sem estender esses padrões e práticas a terceiros, as empresas correm o risco de integrar o cliente errado, fechar o alerta errado ou de não registrar um alerta de atividade suspeita. Instituições que realizam a due diligence ou avaliações periódicas de risco de fornecedores podem evitar riscos de conformidade introduzidos por terceiros.
Apesar dos benefícios obtidos com o uso de terceiros, é essencial que as instituições financeiras reconheçam, retenham e gerenciem os riscos de FCC impostos por terceiros. Para isso, elas devem implementar um programa de gerenciamento de riscos de terceiros que facilite o gerenciamento de riscos e o monitoramento das atividades de terceiros para ajudar a garantir a conformidade com suas obrigações regulatórias.
O ciclo de vida para ajudar a garantir supervisão e gerenciamento adequados em relação a terceiros incorpora três componentes principais de gerenciamento de riscos: revisão de due diligence, monitoramento contínuo e avaliações de risco.
Muitas instituições financeiras podem aprimorar sua análise de conformidade padrão como parte de due diligence durante a fase do contrato com um novo relacionamento com terceiros. Conforme descrito em recentes orientações interagências, isso inclui a avaliação da eficácia da gestão geral de riscos de terceiros, incluindo políticas, processos e controles internos. Também envolve verificar seu alinhamento com as políticas e expectativas em torno da atividade.
A due diligence também deve incluir avaliações das tecnologias para verificar se a parte está potencialmente introduzindo riscos novos ou outros. A unidade de conformidade da instituição financeira pode realizar testes iniciais para verificar a qualidade dos serviços prestados. Isso também é feito para ajudar a garantir que o terceiro esteja configurado para operar dentro do limite de tolerância ao risco da instituição.
As diretrizes interagências estabelecem padrões de segurança da informação e solidez para o monitoramento contínuo das melhores práticas. Os reguladores esperam que as instituições financeiras monitorem o desempenho de terceiros durante todo o relacionamento. Isso é feito para ajudar a garantir que eles atendam às expectativas, identificar quaisquer mudanças necessárias no relacionamento e permitir mudanças resultantes nos riscos e seus controles. As principais atividades de gestão de riscos na fase de monitoramento contínuo incluem:
Uma instituição financeira pode determinar melhor seu perfil de risco para identificar com mais precisão os riscos de conformidade com crimes financeiros, aprimorando as avaliações anuais existentes de risco de AML e BSA. Elas podem identificar riscos impostos por terceiros e introduzir controles para mitigar os riscos. Eles também podem mapear relacionamentos com requisitos regulatórios e documentar pontos de dados importantes de terceiros.
Nem todos os terceiros podem garantir a due diligence e monitoramento, mas uma avaliação dos riscos gerais de terceiros pode ajudar uma instituição a determinar a abordagem baseada em risco apropriada.
Nossa equipe de especialistas no assunto melhora e aprimora programas de gerenciamento de riscos de terceiros. Nossos serviços de consultoria podem ajudar sua organização a avaliar as políticas e os procedimentos de gerenciamento de riscos de terceiros. Também podemos avaliar a cobertura do seu programa de AML sobre o gerenciamento de riscos de terceiros para garantir que eles sejam compatíveis com a tolerância ao risco da sua organização.
A IBM Promontory pode ajudá-lo a desenvolver um programa de monitoramento contínuo e due diligence em AML para manter a conformidade com as leis de AML por terceiros agindo em nome de sua organização. A IBM Promontory pode avaliar os modelos de contrato usados com terceiros para garantir que eles lidam com os controles de AML. Além disso, a IBM Promontory pode desenvolver procedimentos de governança, geração de relatórios e mitigação de riscos para terceiros que desempenham um papel na execução de controles de AML.
Em colaboração com a IBM, a IBM Promontory está posicionada de forma única para fornecer análise de dados automatizada, resumos gerados por IA e clusterização, e relatórios impulsionados por IA. O IBM WatsonX Discovery pode analisar grandes quantidades de dados relacionados a terceiros, incluindo informações de due diligence, registros de transações e documentos organizacionais. A ferramenta pode identificar padrões, anomalias e relacionamentos que podem não ser aparentes para analistas humanos. Também pode fornecer visualizações e resumos. Essa função permite a descoberta dos principais fatores envolvidos na due diligence e na classificação de risco.
O IBM Cloud Pak for Data pode ajudar a resumir e agrupar terceiros com base em seus dados, classificações de risco e outros fatores relevantes. A ferramenta também pode fornecer recomendações para lidar com os problemas subjacentes, como monitoramento aprimorado ou desligamento. O IBM Cognos Analytics pode gerar relatórios detalhados sobre tendências e padrões de terceiros, que podem informar a alta administração, reguladores e outros stakeholders.
Os reguladores deixaram claro que estão se concentrando na forma como as instituições gerenciam os riscos de crimes financeiros de terceiros. As instituições financeiras precisam de programas eficientes e eficazes para realizar a due diligence de terceiros e monitorar, avaliar e controlar continuamente os riscos decorrentes desses relacionamentos.