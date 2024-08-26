La gestión de riesgos por terceros sigue siendo una prioridad máxima para los reguladores federales y estatales de EE. UU., que recientemente impusieron acciones de cumplimiento contra las instituciones financieras. Esto resultó en millones en multas monetarias civiles por violaciones de la Ley de Secreto Bancario (BSA) y por controles débiles de gestión de riesgos de terceros.
Acciones recientes ilustran que los reguladores están responsabilizando cada vez más a las instituciones financieras por sus relaciones con terceros, incluidas las entidades fintech. Los organismos reguladores esperan que las instituciones establezcan prácticas basadas en el riesgo para llevar a cabo la debida diligencia adecuada sobre estos terceros y monitorear, evaluar y controlar continuamente los riesgos de estas relaciones.
A lo largo de los últimos 18 meses, los reguladores han intensificado su enfoque, emitiendo orientación detallada y varias órdenes de consentimiento y sobre la gestión de riesgos de terceros.
En junio de 2023, La Contraloría de la Moneda (OCC), la Junta de la Reserva Federal y la Corporación Federal de Seguros de Depósitos (FDIC) dieron a conocer la guía interinstitucional sobre la gestión de riesgos de terceros para las instituciones financieras. Esta guía debe utilizarse como una hoja de ruta que sienta las bases de las expectativas normativas. Su objetivo es gestionar eficazmente los riesgos asociados con sus relaciones con terceros y las mejores prácticas.
Menos de un año después, la OCC emitió una orden de consentimiento contra un banco regional del Atlántico Sur tras identificar deficiencias en su programa de gestión de riesgos de terceros.
La FDIC determinó que una fintech del noreste participaba en prácticas bancarias inseguras y poco sólidas. Emitieron una orden de consentimiento relacionada, entre otras cosas, con la falta de controles internos y sistemas de información adecuados al tamaño del banco. La orden también abordaba la naturaleza, el alcance, la complejidad y el riesgo de sus relaciones con terceros.
La FDIC también emitió una orden de consentimiento en la que instruía a un banco regional del Medio Oeste a desarrollar políticas y procedimientos adecuados para la gestión de riesgos de terceros. También pidió la mejora de la debida diligencia y el monitoreo de terceros que completan las responsabilidades contra el lavado de dinero (AML) y la lucha contra el financiamiento del terrorismo (CFT).
Las instituciones suelen recurrir a proveedores de servicios externos para gestionar sus controles de la FCC. Históricamente, los servicios de terceros se limitaban a identificar noticias negativas, filtrar sanciones y monitorizar transacciones. Recientemente, estos servicios se ampliaron para incluir procesos como la verificación de identidad del cliente, la verificación electrónica de datos, la inteligencia artificial generativa en la gestión mejorada de casos de diligencia debida, investigaciones de alertas y evaluaciones de riesgos.
Las instituciones pueden tener un seguimiento interno estricto y continuo de procesos. Sin embargo, sin extender esos estándares y prácticas a terceros, las empresas corren el riesgo de incorporar al cliente equivocado, cerrar la alerta equivocada o no presentar una alerta de actividad sospechosa. Las instituciones que llevan a cabo una debida diligencia adecuada o evaluaciones periódicas de riesgos de los proveedores pueden evitar los riesgos de cumplimiento introducidos por terceros.
A pesar de los beneficios obtenidos del uso de terceros, es esencial que las instituciones financieras reconozcan, retengan y gestionen los riesgos de FCC impuestos por terceros. Para ello, deben implementar un programa de gestión de riesgos de terceros que facilite la gestión de riesgos y el monitoreo de las actividades de terceros para ayudar a garantizar el cumplimiento de sus obligaciones regulatorias.
El ciclo de vida para ayudar a garantizar una supervisión y gestión adecuadas de terceros incorpora tres componentes clave de gestión de riesgos: revisión de comentarios debidos, monitoreo continuo y evaluaciones de riesgos.
Muchas instituciones financieras mejoran su revisión de cumplimiento estándar como parte de la diligencia debida durante la fase del contrato con una nueva relación con un tercero. Tal y como se describe en las recientes directrices interinstitucionales, esto incluye evaluar la eficacia de la gestión global de riesgos de un tercero, incluidas las políticas, los procesos y los controles internos. También implica verificar su alineación con las políticas y expectativas que rodean la actividad.
La debida diligencia también debe incluir una revisión de las tecnologías que emplean para verificar si la parte está potencialmente introduciendo riesgos nuevos o de otro tipo. La unidad de cumplimiento de la institución financiera puede realizar pruebas iniciales para verificar la calidad de los servicios prestados. Esto también se hace para ayudar a garantizar que el tercero esté configurado para operar dentro del umbral de tolerancia al riesgo de la institución.
Las pautas interinstitucionales establecen estándares para la seguridad de la información, la seguridad y la solidez para el monitoreo continuo de las mejores prácticas. Los reguladores esperan que las instituciones financieras supervisen el desempeño de terceros a lo largo de la relación. Esto se hace para ayudar a garantizar que se desempeñen según las expectativas, identificar cualquier cambio necesario en la relación y permitir los cambios resultantes en los riesgos y sus controles. Las actividades clave de gestión de riesgos en la fase de monitoreo continuo incluyen:
Una institución financiera puede determinar mejor su perfil de riesgo para identificar con mayor precisión los riesgos de cumplimiento de delitos financieros mejorando las evaluaciones anuales de riesgos AML y BSA existentes. Pueden identificar los riesgos impuestos por terceros e introducir controles para mitigar los riesgos. También pueden establecer relaciones con los requisitos normativos y documentar datos clave de terceros.
No todos los terceros pueden garantizar la debida diligencia y supervisión, pero una evaluación de los riesgos generales de terceros puede ayudar a una institución a determinar el enfoque apropiado basado en el riesgo.
Los reguladores han dejado claro que se están centrando en cómo las instituciones gestionan los riesgos de delitos financieros de terceros. Las instituciones financieras necesitan contar con programas eficientes y eficaces para llevar a cabo la debida diligencia con terceros y supervisar, evaluar y controlar continuamente los riesgos que se derivan de estas relaciones.