Las orientaciones recientes y las reglamentaciones propuestas se han centrado en mejorar la resiliencia de las empresas de infraestructura del mercado financiero. La orientación del Comité de Supervisión Bancaria de Basilea, la Unión Europea y el Reino Unido tiene implicaciones particulares para abordar el riesgo y fortalecer la supervisión de empresas y proveedores externos.
En primera línea: Construyendo la resiliencia operativa
Blogs Laura Zarrillo, MBCI sep. 08, 2021
Los últimos cuatro años han visto un aumento exponencial en la cantidad de políticas, publicaciones y guías para promover la resiliencia de las empresas, en particular las empresas de infraestructura del mercado financiero. Entre los ejemplos en todo el mundo se incluyen las Buenas Prácticas para fortalecer la resiliencia operativa, de la Reserva Federal de los EE. UU. y La gestión de riesgos y la resiliencia operativa en un entorno de trabajo remoto, de la Autoridad Monetaria de Singapur.
En Europa, las guías y regulaciones recientes incluyen:
- Resiliencia operativa: Impacto y tolerancias para negocios de servicios importantes, del Banco de Inglaterra, la Autoridad de Regulación Prudencial y la Autoridad de Conducta Financiera.
- Los Principios para la resiliencia operativa y el programa de trabajo y prioridades estratégicas para 2021/2022, del Comité de Supervisión Bancaria de Basilea.
- El proyecto de ley de resiliencia operativa digital y la Directiva 2 sobre seguridad de la información y las redes (NIS), de la Comisión Europea.
Tras el lanzamiento de Resiliencia operativa: Impacto y tolerancias para negocios de servicios importantes, en junio, las empresas de servicios financieros del Reino Unido deben centrarse en la gestión de riesgos de terceros al considerar el riesgo de tecnología emergente vinculado a la estrategia en la nube, el riesgo de concentración frente a los principales proveedores y los riesgos de la subcontratación. Las empresas deben cambiar su enfoque desde las funciones internas críticas a los servicios importantes del negocio que, si se interrumpen, podrían dañar a los consumidores o la integridad del mercado, así como amenazar la viabilidad y la imagen de las empresas.
Además, para cada servicio importante del negocio, las empresas deben establecer tolerancias de impacto que cuantifiquen el nivel máximo tolerable de interrupción. Al determinar estas tolerancias, deben trabajar sobre la base de que el impacto ya ha ocurrido, en lugar del riesgo de que ocurra.
Además, las empresas deben identificar y documentar las personas, los procesos, la tecnología, las instalaciones y la información que respaldan los servicios importantes del negocio. Deben tomar medidas para permanecer dentro de las tolerancias de impacto a través de una variedad de escenarios plausibles de interrupción. Además, deben diseñar un plan para probar los servicios importantes del negocio contra las tolerancias para garantizar que:
- Este es un reflejo verdadero y preciso de la tolerancia de la organización a la interrupción de ese servicio.
- La organización tiene un buen conocimiento de su propio nivel de resiliencia.
El programa de trabajo y las prioridades estratégicas para 2021/2022 del Comité de Supervisión Bancaria de Basilea refleja el resultado de una reciente revisión estratégica del comité. La revisión tiene como objetivo garantizar que el comité continúe promoviendo eficazmente la estabilidad financiera mundial y fortaleciendo de la regulación, supervisión y prácticas de gestión de riesgos de los bancos en todo el mundo. El programa de trabajo se centra en tres temas clave:
- COVID-19, monitoreo de resiliencia y recuperación y evaluación de riesgos y vulnerabilidades para el sistema bancario global.
- Escaneo y mitigación del horizonte de riesgos y tendencias a mediano plazo, incluido el trabajo relacionado con la digitalización en curso de las finanzas, los riesgos financieros relacionados con el clima y el impacto en los modelos de negocio de los bancos, como resultado de un entorno de tasas de interés "bajas durante mucho tiempo".
- Fortalecer la coordinación y las prácticas de supervisión con un enfoque en el papel de la inteligencia artificial / aprendizaje automático en la banca y la supervisión, la gobernanza de datos y tecnología por parte de los bancos, la resiliencia operativa y el papel de la proporcionalidad en la regulación y supervisión bancaria.
En la Unión Europea (UE), la Ley de Resiliencia Operativa Digital tiene como objetivo establecer una base para que los reguladores y supervisores financieros de la UE puedan expandir su enfoque para garantizar que las empresas sigan siendo financieramente resilientes a través de una interrupción operativa grave. Las consideraciones de la ley propuesta incluyen:
- Llevar a los proveedores externos de tecnología de la información y comunicaciones (TIC), incluidos los proveedores de servicios en la nube, dentro del perímetro regulatorio. De esta manera, una de las Autoridades Europeas de Supervisión tendría la facultad de realizar inspecciones in situ y externas, y emitir recomendaciones.
- Establecimiento de estándares en toda la UE, para las pruebas de resiliencia operativa digital.
- Armonizar las reglas de gestión de riesgos de las TIC en los sectores de servicios financieros, sobre la base de las directrices existentes que piden establecer las tolerancias adecuadas de riesgo e impacto para las interrupciones de las TIC, así como revisar los planes de continuidad del negocio y de recuperación de desastres de la empresa.
- Armonizar la clasificación y el reporte de incidentes relacionados con las TIC y abrir la puerta para establecer un centro único en la UE para la notificación de incidentes importantes relacionados con las TIC, por parte de las instituciones financieras. Las medidas, en conjunto, brindarán a los reguladores de la UE una mejor imagen de los tipos de vulnerabilidades que son más comunes en las empresas y que potencialmente les ayudarían a tomar más medidas.
La pandemia ha confirmado la importancia de prepararse para la década digital, así como la necesidad de mejorar continuamente la resiliencia cibernética sobre la base del crecimiento de las dependencias e interconexiones de redes y sistemas de información entre sectores y servicios.
Para responder a las crecientes amenazas que plantea la digitalización y el aumento de los ciberataques, la Comisión Europea ha propuesto reemplazar la Directiva NIS. La Directiva NIS2 (PDF) fortalecería los requisitos de seguridad, abordaría la seguridad de las cadenas de suministro, agilizaría las obligaciones de reportería e introduciría medidas de supervisión y requisitos de cumplimiento más estrictos, incluidas sanciones armonizadas en toda la UE.
La mayoría de las organizaciones se han embarcado por su cuenta en el análisis e interpretación de estas reglas, y es probable que sus enfoques varíen de una organización a otra. Las organizaciones necesitarán el apoyo de auditoría interna para mejorar su marco de resiliencia, junto con las contribuciones de los expertos en gestión de riesgos y continuidad del negocio.