Año 2019: la banca debe blindarse ante riesgos externos

El segmento minorista tiene un largo historial de crisis asociadas a errores cometidos por terceros

Año 2019: la banca debe blindarse ante riesgos externos

Ln los últimos años se ha producido un aumento de la externalización de servicios por parte de los bancos con el fin de reducir costes y mejorar su eficiencia y flexibilidad. El outsourcing permite aprovechar las economías de escala y supone una forma de fácil acceso a nuevas tecnologías y a herramientas y servicios no disponibles en la propia entidad.

Sin embargo, la externalización de los servicios no sólo no reduce los riesgos fundamentales asociados a la actividad, sino que hace que surjan amenazas adicionales: pérdida de control sobre la actividad y sobre información esencial para la gestión del banco, dependencia del proveedor, pérdida de know-how, entre muchos otros.

La banca de consumo tiene un largo historial enfrentándose a graves crisis financieras y de reputación debido a errores cometidos por terceros. Una de las diez mayores reaseguradoras del mundo, XL Catlin, cuenta cómo hace varios años, millones de clientes de un banco minorista no pudieron retirar fondos ni consultar sus saldos debido a un fallo informático. Otra entidad tuvo que compensar a miles de clientes cuyos datos personales fueron robados y vendidos de forma ilegal. ¿Qué había pasado? Que un proveedor había almacenado estos datos en una memoria USB que se perdió.

De hecho, El BCE fijó el aumento de los riesgos derivados del outsourcing como una de sus prioridades supervisoras para el año 2017. Dos años después, con el fin de establecer un marco común de actuación, el pasado 22 de junio la Autoridad Bancaria Europea (EBA) publicó una serie de directrices para la gestión de estas prácticas. En fase de consultas actualmente, entrará en vigor en junio de 2019, por lo que las entidades tienen un plazo de menos de un año para adecuar su gestión a los requerimientos europeos.

Con el fin de evitar que el fallo de un proveedor de servicios críticos pueda impactar en la actividad financiera del mercado único europeo, la EBA establece un marco de actuación global que garantice que los riesgos están identificados, evaluados y mitigados.

En primer lugar, se centra en la gobernanza, según la cual los bancos deberán disponer de una política, unos procesos y unos elementos de control que sean sólidos y estén correctamente implementados. El objetivo es asegurar que existe una gestión y una supervisión continua y efectiva por parte del comité de dirección de las entidades.

En un segundo nivel se encuentra la propia gestión del proceso. Se ha de comenzar con un análisis previo de la actividad que identifique su criticidad y los riesgos asociados a la misma. En función del resultado, unos requerimientos u otros serán de aplicación en la fase de selección, donde se evaluará la capacidad de los proveedores, analizando también sus diversos riesgos.

Tras ello, en la fase contractual se deberán recoger diversos aspectos relativos a la subcontratación, la seguridad de la información y los derechos de auditoría y resolución. Una vez el contrato esté en vigor, se deberá monitorizar de forma continua el desempeño del proveedor y se establecerán estrategias ante la finalización anticipada de los contratos y/o planes de desarrollo de proveedores que garanticen la continuidad de la actividad. Cuando proceda, se deberán actualizar las evaluaciones de riesgos realizadas en primera instancia.

Por último, las directrices se refieren a la supervisión de la contratación por parte de las autoridades competentes y el reporte a estas. Para garantizar que se realiza de forma efectiva, se establece la obligatoriedad de contar con un registro estructurado de todos los acuerdos de externalización, que incluya los proveedores involucrados, toda la información asociada al proceso y las acciones llevadas a cabo en la gestión del modelo de outsourcing.

En definitiva, estamos ante una revolución en la gestión de los riesgos asociados a compras, donde los bancos deberán tomar la iniciativa y liderar su propia transformación digital. Empujados, esos sí, por el Banco Central Europeo y la Autoridad Bancaria Europea.

Algunos bancos comenzaron en 2017 a implantar un avanzado modelo digital, ampliando el uso que hasta el momento hacían de su plataforma de gestión de licitaciones y proveedores para gestionar también sobre ella todo lo relativo a la externalización.

Para facilitar el cambio y la adopción del modelo por parte de todos los implicados, se ha puesto un foco especial en la experiencia de usuario. La captura de información se realiza a través de encuestas, cuyo envío periódico a los gestores se encuentra automatizado. La plataforma evalúa la información capturada en base a una serie de parámetros predefinidos, de forma que sólo requiere de la intervención de los gestores de compras cuando se detectan incumplimientos o un deterioro en el desempeño de los proveedores.

Durante el proceso, se analizan riesgos operativos, reputacionales, estratégicos, país, de incumplimiento y de concentración; se monitorizan mensualmente incumplimientos de contrato y SLA (Acuerdos de Nivel de Servicio).

El modelo que propone la EBA y que han implantado algunos bancos es de aplicación, en realidad, en cualquier empresa, sea cual sea su sector. Se basa en el control de los riesgos asociados a las actividades con terceros mediante el análisis previo a la externalización, la monitorización durante la ejecución del contrato y el reporte y análisis posterior de todas las actividades realizadas; una gestión que cualquier compañía debe realizar para garantizar la sostenibilidad de su cadena de suministro.

Todo lo anterior establece un nuevo modelo de excelencia que cualquier empresa debería plantearse para mejorar sus procesos de gestión de riesgos derivados de la contratación de proveedores.

Pablo Parellada es Director general de Jaggaer España

Normas