La EBA publica sus directrices revisadas para acuerdos de subcontratación

04-03-2019 — AR/2019/014

La EBA publica sus directrices revisadas sobre acuerdos de subcontratación, que establecen disposiciones específicas para la gobernanza de las instituciones financieras con respecto a sus acuerdos de subcontratación y a las expectativas y procesos de supervisión relacionados, para establecer un marco armonizado para las entidades sujetas a la directiva de requisitos de capital, con novedades en la proporcionalidad (aplicación colectiva y sistemas de protección institucional), la evaluación de los acuerdos de subcontratación, el gobierno interno, el proceso de externalización o subcontratación, las directrices de externalización para autoridades competentes.

La Autoridad Bancaria Europea (EBA, por sus siglas en inglés) publicó, el pasado 25-2-2019, sus directrices revisadas sobre acuerdos de subcontratación, que establecen disposiciones específicas para la gobernanza de las instituciones financieras con respecto a sus acuerdos de subcontratación y a las expectativas y procesos de supervisión relacionados.

El objetivo es establecer un marco más armonizado para las entidades sujetas a la directiva de requisitos de capital (conocida como CRD por sus siglas inglesas) —entidades de crédito y empresas de servicios de inversión—, entidades de pago y entidades de dinero electrónico (en adelante, para abreviar, aludimos a todas ellas como las “entidades”, y a las “entidades de pago” como a estas y las entidades de dinero electrónico).

La recomendación sobre la externalización a proveedores de servicios en la nube, publicada en diciembre de 2017, también se ha integrado en las directrices.

Estas directrices entrarán en vigor el 30-9-2019.

A continuación se resumen los aspectos más relevantes de las directrices.

Proporcionalidad: aplicación colectiva y sistemas de protección institucional

Las entidades deben tener en cuenta el principio de proporcionalidad, que tiene por objetivo permitir un cumplimiento efectivo de los requerimientos regulatorios. Del mismo modo, las autoridades competentes deben observar este principio cuando supervisen el cumplimiento con las directrices. Además, las entidades deben considerar siempre la complejidad de las funciones que subcontratan y el riesgo que genera esa subcontratación.

En relación con los grupos de empresas, la EBA indica que la empresa matriz debe asegurar que los acuerdos de gobierno y los procesos en las empresas filiales (incluidas las entidades de pago) sean consistentes y estén integrados de forma adecuada para una aplicación efectiva de las directrices. Así, aquellos que utilicen modelos centralizados de gobierno y subcontraten a proveedores del grupo o del sistema de protección institucional deben tener en cuenta que:

  • El órgano de administración de las filiales retiene la responsabilidad del cumplimiento y aplicación efectiva de las directrices.
  • Si la subcontratación incluye tareas operativas de funciones de control interno, la monitorización y auditoría de los acuerdos de subcontratación deben asegurar que esas tareas operativas se realizan de forma efectiva, incluyendo la recepción informes apropiados al respecto.

Las directrices establecen también requisitos para las entidades de un grupo que no se beneficien de las exenciones de los artículos 21 y 109 de CRD ni de las definidas en el artículo 7 del reglamento de requisitos capital (conocido como CRR por sus siglas), o sean miembros de un sistema de protección institucional.

Evaluación de los acuerdos de subcontratación

Las entidades deben determinar si un acuerdo con un tercero constituye o no una subcontratación. Para ello, las directrices incluyen una lista de servicios que no se deben definir como subcontratación (por ejemplo, la contratación de servicios de información de mercado o los acuerdos de compensación y liquidación).

Se definen asimismo los aspectos a tener en cuenta para considerar una función crítica o importante, que son:

  1. Si un defecto o fallo en esa función perjudicase materialmente:
    • el cumplimiento continuo de las condiciones de su autorización u otras obligaciones,
    • su desempeño financiero, o
    • la solidez o continuidad de sus servicios bancarios y de pago.
  2. Si se delegan tareas operativas de las funciones de control interno, salvo que la evaluación previa determine que, si falla la función subcontratada o esta no se desarrolla adecuadamente, no tendría un efecto adverso en la efectividad de las funciones de control interno.
  3. Si se externalizan funciones de actividades bancarias o servicios de pago en una medida que requiriera la autorización de una autoridad competente.

Las directrices también establecen que, al evaluar si se externaliza una función crítica o importante, las entidades deben considerar, además del resultado de la evaluación de riesgos, otros factores como el efecto de un fallo en la función que se externaliza o en la capacidad de control, cumplimiento o auditoría de la entidad sobre la función subcontratada.

Gobierno interno

Las entidades deben contar con un marco integral de gestión de riesgos que se extienda a todas las líneas de negocio y unidades internas y que permita gestionar los riesgos que generen acuerdos con terceros.

En ningún caso se podrán delegar responsabilidades del órgano de administración. Tampoco se podrán reducir los requerimientos de idoneidad de los miembros del órgano de administración, directores o personas responsables de la gestión o funciones clave.

Si el órgano de administración tiene suscritos acuerdos de externalización o prevé firmarlos, debe aprobar, revisar regularmente y actualizar una política escrita de subcontratación y garantizar su implementación. La política debe incluir las fases principales del ciclo de vida de los acuerdos de subcontratación y definir los principios, responsabilidades y procesos de la externalización. A su vez, las entidades deben contar con planes de continuidad que cubran las funciones críticas o importantes externalizadas y probar estos planes. Las directrices permiten que las entidades que pertenezcan a un grupo o sistema de protección institucional puedan basarse en los planes de continuidad de negocio del grupo o sistema para sus funciones subcontratadas.

Por otro lado, las entidades deben identificar, evaluar y gestionar los conflictos de intereses con respecto a sus acuerdos de externalización. En este contexto, cuando la subcontratación genere conflictos de intereses materiales, incluso entre entidades del mismo grupo o sistema de protección institucional, deben tomar las medidas adecuadas para gestionarlos.

Por último, se hace referencia a la función de auditoría interna y a la necesidad de que el plan de auditoría cubra la externalización de funciones críticas e importantes, y de que se mantenga actualizado un registro con la información de los acuerdos de externalización.

Proceso de externalización o subcontratación

Las directrices definen las fases o el ciclo de la externalización, desde el análisis previo a la decisión de externalizar hasta la fase contractual y las facultades de supervisión o los derechos de resolución, entre otros.

En todo caso, la entidad debe asegurar que el proveedor del servicio:

  • está autorizado o registrado por una autoridad competente para realizar dichas actividades bancarias o servicios de pago; o,
  • de lo contrario, el proveedor tiene permitido realizar esas actividades bancarias o servicios de pago de acuerdo con el marco legal nacional.

Además, las entidades deben evaluar el efecto potencial de los acuerdos de subcontratación en su riesgo operacional y deben tener en cuenta los resultados de la evaluación al decidir si la función se subcontrata a un proveedor de servicios. En este sentido, también deben tomar las medidas adecuadas para evitar riesgos operativos adicionales indebidos antes de celebrar acuerdos de subcontratación.

Por otro lado, las entidades deben garantizar que los proveedores de servicios cumplan con el estándar adecuado de seguridad de IT. Por ejemplo, cuando el sistema o los datos radiquen en la nube, deben definir los requisitos de seguridad de esos elementos dentro del acuerdo de externalización y controlar su cumplimiento de forma continua.

En el ámbito de los derechos de acceso a la información y auditoría, las entidades deben garantizar dentro del acuerdo de externalización que la función de auditoría interna pueda revisar la función subcontratada utilizando un enfoque basado en el riesgo.

Por último, las entidades deben disponer de una estrategia de salida documentada cuando subcontraten funciones críticas o importantes, que debe estar en línea con su política de externalización y con sus planes de continuidad de negocio.

Directrices de externalización para autoridades competentes

Las autoridades de supervisión deben identificar si los acuerdos de subcontratación suponen un cambio sustancial en las condiciones y obligaciones de la autorización inicial de las entidades.

Las autoridades pueden solicitar información adicional a las entidades, en particular relativa a acuerdos de externalización críticos o importantes, como: (a) el análisis detallado de riesgos; (b) si el proveedor de servicios tiene un plan de continuidad adecuado para los servicios prestados a la entidad contratante; (c) la estrategia de salida, si se resolviera el acuerdo de subcontratación por cualquiera de las partes o se interrumpiera la prestación de los servicios, y (d) los recursos y las medidas existentes para monitorizar adecuadamente las actividades subcontratadas.

Además, las autoridades competentes pueden exigir que las entidades proporcionen información detallada sobre cualquier acuerdo de subcontratación, incluso si la función subcontratada no se considera crítica ni importante.