Menú

Todas

gobierno adecuado

Gobierno adecuado para la externalización de funciones

¿En qué consiste un sistema de gobierno adecuado para la externalización de funciones? ¿Cuál es el contenido de la política de externalización? ¿Qué establecen las Directrices de EBA, ESMA y EIOPA? ¿Qué deberes tiene el Outsourcing Officer?

Introducción

¿Cómo debe ser un sistema de gobierno adecuado para la externalización de funciones? Las Directrices de órganos de la UE sobre acuerdos de externalización han supuesto un cambio en el entorno regulatorio. Estos órganos son EBA, ESMA y EIOPA, que han regulado el outsourcing en el sector financiero. Mientras que las Directrices de EBA afectan a una amplitud de funciones, las de ESMA y EIOPA se aplican a funciones en la nube. Así pues, hay que tener en cuenta que todas estas Directrices van dirigidas a entidades de crédito, entidades de pago y entidades de dinero electrónico.

A fin de cumplir lo previsto en las Directrices, el control interno es un factor clave. Asimismo, la gestión de riesgos es esencial. Por tanto, un sistema de gobierno que considere la gestión de riesgos debe guiar y asegurar que todas las medidas se aplican de forma efectiva.

Por esta razón, en un contexto en que el outsourcing es tan habitual, las entidades deben tener un control interno eficaz y adecuado.

Contacto No te quedes con la duda, contacta con nosotros. Estaremos encantados de atenderte y ofrecerte soluciones.

Sistema de gobierno adecuado. Delegación de responsabilidades y gestión de riesgos

La EBA obliga a las entidades a tener un control que incluya la externalización. Esta idea se apoya en la naturaleza indelegable de la responsabilidad. De esta manera, el órgano de administración de la entidad es responsable y responde de las consecuencias derivadas de las operaciones que se externalicen.

Por ello, no hay una delegación de responsabilidades hacia la otra parte que firma el acuerdo. Las entidades responden de sus deberes regulatorios y aseguran su cumplimiento.

Asimismo, hay que tener en cuenta la gestión de riesgos. Un gobierno adecuado garantiza que se identifiquen y gestionen los riesgos antes de externalizar la función. Así pues, los requisitos de las Directrices deben ser aplicados por la entidad en todo momento.

Además, la idoneidad de los responsables y directivos no se debe ser ignorada. Las Directrices obligan a tener conocimientos sobre el control de los acuerdos externalizados. Es decir, las entidades deben contar con recursos y competencias adecuadas para llevar a cabo estos procesos.

El Outsourcing Officer

Por esta razón, las entidades crearán una función ad hoc o designarán a un directivo para que la desempeñe. Esta persona (Outsourcing Officer) ostenta la responsabilidad ante la dirección de la entidad. Entre sus tareas está el deber de gestionar y vigilar los riesgos derivados de la externalización. Por tanto, es parte del control interno de la entidad. Además, supervisa que todos los acuerdos están bien documentados. En relación a esto, los acuerdos deben quedar recogidos en un registro de la entidad. Su custodia, seguimiento y revisión es obligatoria.

Claves del orden interno

Según las Directrices, un sistema de gobierno que asegure el cumplimiento de una correcta externalización debe incluir estos puntos:

  1. Las responsabilidades deben estar asignadas para gestionar, documentar y controlar la externalización.
  2. Se debe contar con recursos para asegurar que se cumplen las obligaciones regulatorias.
  3. Se debe llevar una vigilancia de las actividades externalizadas.
  4. La entidad debe tener un responsable del área de externalización: Outsourcing Officer. Las más pequeñas pueden asignar este rol a un miembro del órgano de administración.
  5. Es crucial la gestión de riesgos.
  6. Los controles de la entidad deben estar implantados de forma efectiva.
  7. Las estrategias de salida de contratos son necesarias. Estas se harán según la política de externalización y plan de continuidad del negocio. Serán de aplicación sobre funciones esenciales o importantes.

Como ejemplo, en el siguiente esquema vemos dos tipos de tareas en las sociedades: de gobierno y operativas. El esquema no es limitativo. De esta forma, la división de funciones debe ser clara.

  • Gobierno: Consejo, Compliance Officer, Outsourcing Officer.
  • Operativa: Comercial, Depto. de Compras, Depto. Financiero.

Política de externalización

Un factor crucial que incorporan las Directrices es la política escrita de externalización. Las entidades deben tener una aprobada, aplicada y renovada. En consecuencia, el ente que aprueba esta política es el órgano de administración. Si la organización tiene acuerdos de externalización, debe cumplir una serie de requisitos. También si prevé tenerlos en un futuro. Además, la entidad debe garantizar que se aplica de forma efectiva y llevar a cabo una revisión regular.

Por lo tanto, la política debe incluir las principales etapas de los acuerdos de externalización. De este modo, tiene que definir las responsabilidades y principios que nacen con dicho proceso. Según las Directrices, las materias que debe recoger esta política son las siguientes:

  • Las responsabilidades de la administración de la entidad. Asimismo, su implicación en la toma de decisiones sobre externalización de funciones categorizadas como esenciales o importantes.
  • La participación en los acuerdos de externalización de las diferentes líneas de negocio y las funciones de control interno.
  • Los acuerdos de externalización previstos.
  • La ejecución, seguimiento y gestión de acuerdos. Aquí es necesario destacar la supervisión que se hace del proveedor.
  • La documentación y conservación del registro interno de contratos sobre funciones externalizadas.
  • Las estrategias de salida de contratos. Es de aplicación cuando dichas funciones son esenciales o importantes.

Auditoría interna y continuidad de negocio

Las entidades deben fijar, revisar y conservar de forma regular los planes de continuidad sobre las funciones externalizadas. Lo que estos planes prevén es el fallo de los servicios delegados. También, la insolvencia de los proveedores. Ello ayuda a prever los riesgos derivados de la propia actividad de outsourcing.

Por otro lado, la auditoría interna de la entidad debe revisar de forma regular las actividades que han sido delegadas. El prisma desde el que deben revisar dichas actividades es el del análisis de riesgos. De acuerdo con ello, es interesante la realización de una auditoría independiente de cada función externalizada (y los contratos que se van a celebrar al respecto). Sobre todo, este punto es vital en las funciones esenciales o importantes.

Así pues, cabe destacar la revisión de la eficacia del procedimiento y los contratos de externalización. La persona encargada reportará de forma regular a los administradores sobre la situación de los procesos.

Conclusiones

A la vista de estas consideraciones, obtenemos las siguientes conclusiones:

  • Las entidades deben disponer de un sistema de gobierno interno adecuado para la externalización de funciones.
  • El órgano de administración de la entidad debe aprobar una política de externalización y actualizarla.
  • Se debe nombrar a un directivo que asuma la gestión y vigilancia de los acuerdos sobre funciones externalizadas. Este deberá hacer un seguimiento del registro de dichos acuerdos.
  • La auditoría interna de la entidad debe incluir la externalización de funciones. Tiene que informar al órgano de administración sobre su estado.
  • La entidad debe tener conocimiento suficiente para cumplir sus deberes regulatorios.

Si le ha gustado este artículo, también puede resultarle interesante la lectura del siguiente:

Externalizar funciones financieras. ¿Qué significa?

Publicaciones relacionadas