Saltar al contenido principal
Sector
negro, hombre y mujer, hablar

Infraestructura digital crítica para los servicios financieros 

  • By Dave Dadoun, Director Gerente, Cumplimiento normativo global, Servicios financieros mundiales

A más de un año de la pandemia, una cosa es cierta, como dijo Satya Nadella en nuestra llamada sobre ganancias del tercer trimestre: “Las curvas de adopción digital no se están ralentizando. Se están acelerando, y esto es solo el principio”. Esto es especialmente cierto en el sector de los servicios financieros, que, a diferencia de lo ocurrido en 2008, no solo ha resistido el impacto económico externo de la pandemia, sino que ha obtenido muy buenos resultados en circunstancias especialmente difíciles a lo largo del pasado año. Debido a la necesidad del negocio, vemos cómo las instituciones financieras adoptan rápidamente la tecnología en la nube para permitir una mayor agilidad, resistencia y velocidad de comercialización en la innovación, al tiempo que lo hacen de una manera coherente con el cumplimiento de las expectativas regulatorias desde una perspectiva de externalización. 

En su documento de debate sobre Cuestiones normativas y de regulación relativas a la subcontratación y las relaciones con terceros, el Consejo de Estabilidad Financiera reconoció que la pandemia “puede haber acelerado la tendencia a depender más de ciertas tecnologías de terceros” y, en particular, de la informática en la nube. A medida que aumenta la adopción de la nube en el sector de los servicios financieros, las instituciones financieras se están moviendo para poner funciones críticas e importantes del negocio en la nube, especialmente para facilitar el trabajo a distancia y las interacciones de los clientes remotos por medio de plataformas de productividad como Microsoft Teams. Ya sean clientes como BlackRock, UBS o AXA, que utilizan la nube de Microsoft para las principales funciones empresariales, se pone de manifiesto el importante papel de Microsoft en el sector para que las operaciones empresariales sigan prosperando. Esto ha impulsado a los reguladores a hacer más hincapié en la necesidad de tratar estos acuerdos de subcontratación como infraestructuras críticas, con un mayor papel de los reguladores en la supervisión más directa de los proveedores de infraestructuras críticas. 

Recientemente, la Comisión Europea ha elaborado un proyecto de ley para establecer un régimen regulador que “promueva la convergencia de los enfoques de supervisión del riesgo de terceros de las TIC”, entre otras cosas confiriendo la supervisión directa de los proveedores de servicios críticos de TIC a un supervisor principal. Aunque la legislación aún no se ha aprobado, sienta las bases para facilitar un régimen normativo que contemple la supervisión directa de las infraestructuras críticas, incluidos los posibles proveedores de servicios en la nube como Microsoft. 

En otros mercados, como el de Corea, se están tomando medidas para proporcionar una supervisión similar de las infraestructuras digitales, con marcos similares en mente. En Microsoft, pensamos que se trata de una evolución natural de la supervisión normativa, ya sea por medio de una nueva legislación o sobre la base de la legislación existente, como la Ley de Empresas de Servicios Bancarios de Estados Unidos, que confiere a los reguladores bancarios estadounidenses la autoridad para examinar a los proveedores de subcontratación de terceros. La oportunidad de servir a la industria a escala para las funciones empresariales clave conlleva la responsabilidad de proporcionar el nivel de garantía y supervisión que los clientes y los reguladores esperarán en este nuevo paradigma. 

En consecuencia, hemos creado una Oficina de Infraestructuras Críticas para abordar estas cuestiones, no solo respecto a los servicios financieros, sino a todos los sectores que respaldan las infraestructuras críticas (por ejemplo, sanidad, comercio minorista, energía, fabricación, etc.). Igualmente, durante casi una década nos hemos comprometido en nuestros contratos a dar derechos de examen reglamentario y derechos de auditoría similares a los clientes, dado que entendemos que estos requisitos son sacrosantos cuando se trata de tener el nivel de garantía requerido para las funciones críticas e importantes que operan en nuestro entorno de nube. No se trata de un mero derecho contractual: tenemos experiencia en apoyar a nuestros clientes en el ejercicio de los derechos directos de auditoría y, asimismo, de exámenes regulatorios. 

Seguimos invirtiendo para dar seguridad y transparencia a nuestros clientes ayudándolos a: 

De cara al futuro, creemos que es importante que los reguladores y los clientes sean igual de innovadores a la hora de emplear nuevos modelos de garantía para adaptarse a la naturaleza de hiperescala de la informática en la nube, que está estandarizada y, por lo tanto, emplea un conjunto coherente de controles dondequiera que operen nuestros servicios en la nube. Por lo tanto, cuando los clientes o los reguladores pretenden examinar nuestros servicios en la nube, incluidos nuestros centros de datos, la repetición de las auditorías supone una duplicación. Los recursos dedicados a una auditoría pueden aplicarse por igual para que los clientes y los reguladores se beneficien de dichas auditorías. Un enfoque que consideramos útil para escalar incluye el uso de empresas independientes de terceros como TruSight, que pueden ofrecer el mismo nivel de garantía a los clientes mediante una evaluación estandarizada de los controles. Pero sabemos que se puede hacer más, y agradecemos las aportaciones del sector para ayudar a impulsar las sinergias y la garantía por igual. 

Además, en el marco de nuevos regímenes normativos como el DORA, el proyecto de legislación contempla que las Autoridades Europeas de Supervisión “deberían ser alentadas a celebrar acuerdos de cooperación” con otros reguladores de terceros países. Y el Consejo de Estabilidad Financiera también señaló que “el diálogo y la cooperación transfronterizos en materia de regulación y supervisión en este ámbito son cada vez más importantes”. Dado que el concepto de “auditorías conjuntas” está incorporado en las orientaciones reglamentarias emitidas por las Autoridades Europeas de Supervisión y, más recientemente, por el Banco de Inglaterra, animamos a los organismos reguladores a que, por extensión, consideren la cooperación reglamentaria para aprovechar los recursos conjuntamente y evitar exámenes innecesarios y duplicados cuando puedan llevarse a cabo de modo más eficiente de forma conjunta. De hecho, en su esencia, esto es lo que pretende el DORA en el marco europeo entre los Estados miembros. 

A medida que avanzamos, reconocemos el importante papel que desempeñan los reguladores en el sector y nuestro apoyo para seguir fomentando la innovación de forma responsable, incluso en el marco de los nuevos mecanismos de regulación que hacen hincapié en las infraestructuras críticas. Apoyaremos a nuestros clientes como un socio clave para ayudarlos a satisfacer sus necesidades de cumplimiento normativo y seguir innovando con mayor garantía. Esto incluye, a modo de ejemplo, nuestro innovador Programa de Cumplimiento de Servicios Financieros, que permite un compromiso más profundo respecto a las evaluaciones de riesgo y asistencia en las revisiones de garantía y cumplimiento normativo. A medida que surge un nuevo amanecer, esperamos una aceleración continua en la adopción de la nube. Estamos preparados para servir al sector y a los reguladores. 

Más información 

Cumplir con las obligaciones de cumplimiento en un entorno normativo dinámico es complejo. Estamos aquí para ayudarlo a navegar por este paisaje en continuo cambio. Descubra cómo ayudamos a los clientes a administrar el cumplimiento en la nube. Para continuar su viaje de transformación digital: 

Dave Dadoun
Dave Dadoun
Director Gerente, Cumplimiento normativo global, Servicios financieros mundiales

Related posts