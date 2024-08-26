La gestione dei rischi di terze parti rimane una priorità assoluta per le autorità di regolamentazione federali e statali degli Stati Uniti, che hanno recentemente imposto misure coercitive nei confronti degli istituti finanziari. Questo ha comportato milioni di sanzioni civili per le violazioni del Bank Secrecy Act (BSA) e per i deboli controlli di gestione del rischio di terze parti.
Le azioni recenti dimostrano che le autorità di regolamentazione stanno sempre più chiedendo conto alle istituzioni finanziarie delle loro relazioni con terze parti, comprese le entità fintech. Gli enti normativi si aspettano che gli istituti stabiliscano pratiche basate sul rischio per condurre un'adeguata due diligence su queste terze parti e monitorare, valutare e controllare continuamente i rischi di queste relazioni.
Negli ultimi 18 mesi, le autorità di regolamentazione hanno intensificato la loro attenzione, emanando linee guida dettagliate e diversi ordini di consenso sulla gestione dei rischi di terze parti.
Nel giugno 2023, l'Office of the Comptroller of the Currency (OCC), la Federal Reserve Board e la Federal Deposit Insurance Corporation (FDIC) hanno pubblicato linee guida interagenzia sulla gestione del rischio di terze parti per gli istituti finanziari. Questa guida deve essere utilizzata quale roadmap che pone le basi delle aspettative dal punto di vista normativo. L'obiettivo è quello di gestire in modo efficace i rischi associati ai rapporti con le terze parti e alle best practice.
Meno di un anno dopo, l'OCC ha emesso un provvedimento di consenso contro una banca regionale dell'Atlantico meridionale dopo avere individuato dei punti deboli nel suo programma di gestione del rischio di terze parti.
La FDIC ha scoperto che una fintech del nord-est era coinvolta in pratiche bancarie pericolose e poco affidabili. Ha emesso un provvedimento di consenso relativo, tra le altre cose, alla mancanza di controlli interni e di sistemi informativi adeguati alle dimensioni della banca. Il provvedimento riguardava anche la natura, la portata, la complessità e il rischio delle relazioni della banca con terze parti.
La FDIC ha inoltre emesso un provvedimento di consenso che impone a una banca regionale del Midwest di sviluppare policy e procedure appropriate per la gestione del rischio di terze parti. Ha inoltre chiesto di migliorare la due diligence e il monitoraggio delle terze parti che assolvono alle responsabilità in materia di antiriciclaggio (AML) e di lotta al finanziamento del terrorismo (CFT).
Le istituzioni spesso si affidano a fornitori esterni per gestire i controlli FCC. Storicamente, i servizi di terze parti si limitavano all'identificazione di notizie negative, allo screening delle sanzioni e al monitoraggio delle transazioni. Recentemente, questi servizi si sono ampliati per includere processi come la verifica dell'identità dei clienti, la verifica elettronica dei dati, l'AI generativa nella gestione dei casi di due diligence migliorata, l'analisi degli allarmi e le valutazioni dei rischi.
Le istituzioni potrebbero disporre di un rigoroso monitoraggio continuo dei processi interni; tuttavia, senza estendere tali standard e pratiche alle terze parti, le aziende rischiano di accettare il cliente sbagliato, chiudere l'allarme sbagliato o non lanciare un avviso di attività sospetta. Gli istituti che conducono un'adeguata due diligence o valutazioni periodiche del rischio dei fornitori possono evitare i rischi di conformità introdotti da terzi.
Nonostante i benefici ottenuti dall'utilizzo di terze parti, è essenziale che le istituzioni finanziarie riconoscano, affrontino e gestiscano rischi FCC imposti da terzi. Per farlo, devono implementare un programma di gestione del rischio di terze parti che faciliti la gestione dei rischi e il monitoraggio delle attività di terze parti per garantire il rispetto dei propri obblighi normativi.
Il ciclo di vita per garantire un'adeguata supervisione e gestione delle terze parti incorpora tre componenti chiave della gestione del rischio: analisi di due diligence, monitoraggio continuo e valutazioni dei rischi.
Molti istituti finanziari desiderano migliorare la propria verifica della conformità standard quale parte della due diligence durante la fase contrattuale con una nuova terza parte. Come descritto nelle recenti linee guida interagenzia, ciò include la valutazione dell'efficacia della gestione complessiva del rischio di una terza parte, tra cui policy, processi e controlli interni. Implica anche la verifica del loro allineamento con le policy e le aspettative relative all'attività.
La due diligence dovrebbe includere anche una revisione delle tecnologie utilizzate, per verificare se la terza parte sta potenzialmente introducendo rischi nuovi o di altro tipo. Il reparto di conformità dell'istituto finanziario può effettuare test iniziali per verificare la qualità dei servizi forniti. Questo viene fatto anche per contribuire a garantire che la terza parte sia organizzata per operare entro la soglia di tolleranza del rischio dell'istituto.
Le linee guida interagenzia stabiliscono standard per la sicurezza, la protezione e la solidità delle informazioni ai fini del monitoraggio continuo delle best practice. Gli enti normativi si aspettano che le istituzioni finanziarie monitorino le prestazioni delle terze parti durante tutta la relazione. L'obiettivo è quello di garantire che le prestazioni siano conformi alle aspettative, identificare eventuali modifiche necessarie nella relazione e consentire le modifiche necessarie ai rischi e ai relativi controlli. Le principali attività di gestione del rischio nella fase di monitoraggio continuo includono:
Un'istituzione finanziaria può determinare meglio il proprio profilo di rischio per identificare con maggiore precisione i rischi di conformità ai crimini finanziari, migliorando le valutazioni annuali dei rischi AML e BSA esistenti. Possono identificare i rischi imposti da terzi e introdurre controlli per mitigarli. Possono anche mappare le relazioni con i requisiti normativi e documentare i dati d'importanza chiave delle terze parti.
Non tutte le terze parti possono giustificare un livello di due diligence e di monitoraggio altrettanto elevato, ma una valutazione dei rischi complessivi delle terze parti può aiutare l'istituto a determinare l'approccio appropriato basato sul rischio.
Il nostro team di esperti in materia migliora e rafforza i programmi di gestione del rischio di terze parti. I nostri servizi di consulenza possono aiutare la tua organizzazione a valutare le policy e le procedure di gestione del rischio di terze parti. Possiamo anche valutare la copertura del tuo programma AML in materia di gestione dei rischi di terze parti, per garantire che sia commisurata alla tolleranza al rischio della tua organizzazione.
IBM Promontory può aiutarti a sviluppare un programma di due diligence AML e di monitoraggio continuo per garantire la conformità alle leggi AML da parte di terze parti che agiscono per conto della tua organizzazione. IBM Promontory può valutare i tuoi modelli contrattuali con terze parti per assicurarti che includano i controlli AML. Inoltre, IBM Promontory può sviluppare procedure di governance, reportistica e mitigazione del rischio per terze parti che hanno un ruolo nell'esecuzione dei controlli AML.
In collaborazione con IBM, IBM Promontory vanta una posizione unica per fornire analisi automatizzate dei dati, riassunti e cluster generati dall'AI e reportistica basata su AI. IBM watsonx Discovery può analizzare grandi quantità di dati relativi a terzi, incluse informazioni sulla due diligence, registri delle transazioni e documenti dell'organizzazione. Lo strumento può identificare modelli, anomalie e relazioni che potrebbero non essere evidenti agli analisti umani. Può anche fornire visualizzazioni e riepiloghi. Questa funzione consente di scoprire i fattori chiave coinvolti nella due diligence e nella valutazione del rischio.
IBM Cloud Pak for Data può aiutare a generare riepiloghi e cluster delle terze parti in base ai loro dati, alle valutazioni del rischio e ad altri fattori rilevanti. Lo strumento può anche fornire raccomandazioni per affrontare le problematiche sottostanti, come un monitoraggio migliorato o l'offboarding. IBM Cognos Analytics può generare report dettagliati sulle tendenze e sui pattern delle terze parti, utilizzabili per informare il senior management, gli organi di vigilanza e altri stakeholder.
Gli enti normativi hanno chiarito che si stanno concentrando sul modo in cui le istituzioni gestiscono i rischi di terze parti legati ai crimini finanziari. Le istituzioni finanziarie necessitano di programmi efficienti ed efficaci per condurre la due diligence sulle terze parti e monitorare, valutare e controllare continuamente i rischi derivanti da queste relazioni.