En los últimos años se ha producido un aumento de la externalización de servicios por parte de los bancos con el fin de reducir costes y mejorar su eficiencia y flexibilidad.
El outsourcing permite aprovechar las economías de escala y supone una forma de fácil acceso a nuevas tecnologías y a herramientas y servicios no disponibles en la propia entidad.
Sin embargo, conlleva una serie de inconvenientes porque la externalización de los servicios no sólo no reduce los riesgos fundamentales asociados a la actividad, sino que hace que surjan amenazas adicionales: pérdida de control sobre la propia actividad y sobre información esencial para la gestión del banco, dependencia del proveedor, pérdida de know-how, entre muchos otros.
Tanto es así que el BCE fijó en 2016 el aumento de los riesgos derivados del outsourcing como una de sus prioridades supervisoras para el año 2017. Dos años después, con el fin de establecer un marco común de actuación, en junio de 2018 la Autoridad Bancaria Europea (EBA) publicó un borrador de directrices para la gestión de estas prácticas. Finalizada la fase de consultas, entrarán en vigor el 30 de septiembre, por lo que las entidades tienen un plazo de menos de seis meses para adecuar su gestión a los requerimientos europeos.
La banca de consumo tiene un largo historial enfrentándose a graves crisis financieras y de reputación debido a errores cometidos por terceros. Una de las diez mayores reaseguradoras del mundo, XL Catlin, cuenta cómo hace varios años millones de clientes de un banco minorista no pudieron retirar fondos ni consultar sus saldos debido a un fallo informático. Otra entidad tuvo que compensar a miles de clientes cuyos datos personales fueron robados y vendidos de forma ilegal. ¿Qué había pasado? Que un proveedor había almacenado estos datos en una memoria USB que se perdió.
Con el fin de evitar que el fallo de un proveedor de servicios críticos pueda impactar en la actividad financiera del mercado único europeo, la EBA establece un marco de actuación global que garantice que todos los riesgos asociados a terceros están identificados, evaluados y mitigados.
En primer lugar, se centra en la gobernanza. Los bancos deberán disponer de una política, unos procesos y unos elementos de control que sean sólidos y estén correctamente implementados. El objetivo es asegurar que existe una gestión y una supervisión continua y efectiva por parte del comité de dirección y el consejo de administración de las entidades, y que sus responsabilidades no quedan delegadas.
En un segundo nivel se encuentra la propia gestión del proceso. Se ha de comenzar con un análisis previo de la actividad que se pretende externalizar para valorar los riesgos asociados. En función del resultado, unos requerimientos u otros serán de aplicación en la fase de selección, donde se evaluará la capacidad de los proveedores, analizando también sus diversos riesgos.
Tras ello, en la fase contractual se deberán fijar adecuadamente las obligaciones de cada una de las partes y se deberán recoger diversos aspectos relativos a la subcontratación, la seguridad de la información y los derechos de auditoría y resolución. Una vez el contrato esté en vigor, se deberá monitorizar de forma continua el desempeño del proveedor y se establecerán estrategias ante la posible finalización anticipada de los contratos y/o planes de desarrollo de proveedores que garanticen la continuidad de la actividad. Cuando proceda, se deberán actualizar las evaluaciones de riesgos realizadas en primera instancia.
Por último, las directrices se refieren a la supervisión de la contratación por parte de las autoridades competentes y el reporte a estas. Para garantizar que se realiza de forma efectiva, se recomienda contar con un registro estructurado de todos los acuerdos de externalización, que incluya los proveedores involucrados y toda la información asociada al proceso de outsourcing.
En las directrices la EBA fija determinadas actividades como exentas, para las que no aplicará este modelo de gestión de riesgos. Entre ellas, las tarjetas de crédito como Visa o Mastercard; auditorías legales; agencias de calificación como Moody's o Bloomberg; servicios de correspondencia financiera sujetos a la supervisión de las autoridades; así como otros servicios no prestados por la entidad, como la limpieza y el mantenimiento, atención médica, viajes, material informático y de oficina y suministro de agua, gas y electricidad.
El modelo que propone la EBA y que han implantado algunos bancos es de aplicación, en realidad, en cualquier empresa, sea cual sea su sector, basada en el control de los riesgos asociados a las actividades con terceros, que cualquier compañía debe realizar para garantizar la sostenibilidad de su cadena de suministro.
En banca y, por extensión, en toda compañía del siglo XXI, las nuevas tecnologías aplicadas a compras ayudan a configurar ese nuevo modelo de excelencia imprescindible para mejorar los procesos de gestión de riesgos derivados de la contratación de servicios por parte de externos.
Entidades
