La gestión de riesgos por terceros sigue siendo una prioridad máxima para los reguladores federales y estatales de EE. UU., que recientemente han impuesto acciones de cumplimiento contra las instituciones financieras. El resultado fueron multas millonarias en dinero civil por violación de la Ley de Secreto Bancario (BSA) y por deficiencias en los controles de gestión de riesgos de terceros.
Las medidas recientes demuestran que los reguladores exigen cada vez más a las instituciones financieras que rindan cuentas por sus relaciones con terceros, incluidas las entidades fintech. Las agencias reguladoras esperan que las instituciones establezcan prácticas basadas en el riesgo para llevar a cabo la debida diligencia con estos terceros y monitorizar, evaluar y controlar continuamente los riesgos de estas relaciones.
A lo largo de los últimos 18 meses, los reguladores han intensificado su atención, publicando directrices detalladas y varias órdenes de consentimiento sobre la gestión de riesgos de terceros.
En junio de 2023, la Oficina del Contralor de la Moneda (OCC), la Junta de la Reserva Federal y la Corporación Federal de Seguros de Depósitos (FDIC) publicaron una guía interinstitucional sobre la gestión de riesgos de terceros para instituciones financieras. Esta guía debe utilizarse como una hoja de ruta que sienta las bases de las expectativas normativas. Su objetivo es gestionar eficazmente los riesgos asociados con sus relaciones con terceros y las buenas prácticas.
Menos de un año después, la OCC emitió una orden de consentimiento contra un banco regional del Atlántico Sur después de identificar debilidades en su programa de gestión de riesgos de terceros.
La FDIC determinó que una fintech del noreste estaba involucrada en prácticas bancarias inseguras y poco sólidas. Emitió una orden de consentimiento relativa, entre otras cosas, a que el banco no disponía de controles internos y sistemas de información adecuados a su tamaño. La orden también abordaba la naturaleza, el alcance, la complejidad y el riesgo de sus relaciones con terceros.
La FDIC también emitió una orden de consentimiento instruyendo a un banco regional del medio oeste a desarrollar políticas y procedimientos apropiados para la gestión de riesgos de terceros. También pidió que se mejorara la diligencia debida y la monitorización de terceros responsables de la lucha contra el blanqueo de capitales (AML) y la financiación del terrorismo (CFT).
Las instituciones suelen confiar en proveedores de servicios externos para ejecutar sus controles de la FCC. Históricamente, los servicios de terceros se limitaban a identificar noticias negativas, filtrar sanciones y monitorizar transacciones. Recientemente, estos servicios se han ampliado para incluir procesos como la verificación de la identidad de los clientes, la comprobación electrónica de datos, la inteligencia artificial generativa para la mejora de la gestión de casos de diligencia debida, la investigación de alertas y la evaluación de riesgos.
Las instituciones podrían tener una monitorización estricta y continua de los procesos internos. Sin embargo, sin extender esos estándares y prácticas a terceros, las empresas corren el riesgo de incorporar al cliente equivocado, cerrar la alerta equivocada o no presentar una alerta de actividad sospechosa. Las instituciones que llevan a cabo una diligencia debida adecuada o evaluaciones periódicas del riesgo de los proveedores pueden evitar los riesgos de cumplimiento introducidos por terceros.
A pesar de los beneficios obtenidos del uso de terceros, es esencial que las instituciones financieras reconozcan, retengan y gestionen los riesgos de FCC impuestos por terceros. Para ello, deben implementar un programa de gestión de riesgos de terceros que facilite la gestión de riesgos y la monitorización de las actividades de terceros para ayudar a garantizar el cumplimiento de sus obligaciones normativas.
El ciclo de vida para ayudar a garantizar una supervisión y gestión adecuadas sobre terceros incorpora tres componentes clave de gestión de riesgos: revisión de la debida diligencia, monitorización continua y evaluaciones de riesgos.
Muchas instituciones financieras mejoran su revisión de cumplimiento estándar como parte de la diligencia debida durante la fase del contrato con una nueva relación con un tercero. Tal y como se describe en las recientes directrices interinstitucionales, esto incluye la evaluación de la eficacia de la gestión global de riesgos de un tercero, incluidas las políticas, los procesos y los controles internos. También implica comprobar su alineación con las políticas y expectativas en torno a la actividad.
La diligencia debida también debe incluir una revisión de las tecnologías que utilizan para comprobar si la parte está introduciendo potencialmente riesgos nuevos o de otro tipo. La unidad de cumplimiento de la institución financiera puede realizar pruebas iniciales para verificar la calidad de los servicios prestados. Esto también se hace para ayudar a garantizar que el tercero esté preparado para operar dentro del umbral de tolerancia al riesgo de la institución.
Las directrices interinstitucionales establecen normas de seguridad, protección y solidez de la información para la monitorización continua de las buenas prácticas. Los reguladores esperan que las instituciones financieras monitoricen el rendimiento de terceros a lo largo de toda la relación. Esto se hace para ayudar a garantizar que cumplen las expectativas, identificar cualquier cambio necesario en la relación y permitir los cambios resultantes en los riesgos y sus controles. Las principales actividades de gestión de riesgos de la fase de monitorización continua incluyen:
Una institución financiera puede determinar mejor su perfil de riesgo para identificar con mayor precisión los riesgos de cumplimiento de la delincuencia financiera mediante la mejora de las evaluaciones anuales de riesgo existentes de la AML y la BSA. Pueden identificar los riesgos impuestos por terceros e introducir controles para mitigar los riesgos. También pueden establecer relaciones con los requisitos normativos y documentar datos clave de terceros.
No todos los terceros pueden garantizar la debida diligencia y monitorización, pero una evaluación de los riesgos generales de terceros puede ayudar a la institución a determinar el enfoque adecuado en función del riesgo.
Nuestro equipo de expertos en la materia mejora y potencia los programas de gestión de riesgos de terceros. Nuestros servicios de asesoramiento pueden ayudar a su organización a evaluar las políticas y procedimientos de gestión de riesgos de terceros. También podemos evaluar la cobertura de su programa AML de la gestión de riesgos de terceros para ayudar a garantizar que sean acordes con la tolerancia al riesgo de su organización.
IBM Promontory puede ayudarle a desarrollar un programa de diligencia debida y monitorización continua de AML para mantener el cumplimiento de las leyes de AML por parte de terceros que actúan en nombre de su organización. IBM Promontory puede evaluar tus plantillas de contratos utilizadas con terceros para ayudar a garantizar que abordan los controles AML. Además, IBM Promontory puede desarrollar procedimientos de gobierno, elaboración de informes y mitigación de riesgos para terceros que desempeñan un papel en la ejecución de los controles AML.
En colaboración con IBM, IBM Promontory se encuentra en una posición única para proporcionar análisis de datos automatizados, resúmenes y clustering generados por IA, así como informes con IA. IBM watsonX Discovery puede analizar grandes cantidades de datos relacionados con un tercero, incluida la información de diligencia debida, los registros de transacciones y los documentos organizativos. La herramienta puede identificar patrones, anomalías y relaciones que podrían no ser evidentes para los analistas humanos. También puede proporcionar visualizaciones y resúmenes. Esta función permite descubrir los factores clave implicados en la debida diligencia y la calificación de riesgo.
IBM Cloud Pak for Data puede ayudar a resumir y agrupar a terceros en función de sus datos, calificaciones de riesgo y otros factores relevantes. La herramienta también puede proporcionar recomendaciones para abordar los problemas subyacentes, como una mayor monitorización o la salida de la empresa. IBM Cognos Analytics puede generar informes detallados sobre tendencias y patrones de terceros, que pueden informar a la alta dirección, los reguladores y otros stakeholders.
Los reguladores han dejado claro que se están centrando en cómo las instituciones gestionan los riesgos de delitos financieros de terceros. Las instituciones financieras necesitan contar con programas eficientes y eficaces para llevar a cabo la debida diligencia con terceros y monitorizar, evaluar y controlar de manera continua los riesgos derivados de estas relaciones.