Boletín Internacional

Suscribirse
Subscribe
  • Español
  • English

    • IOSCO


    Enviar por Email

    image_pdf

    Plataformas de negociación e intermediarios financieros. Peer Review sobre los Estándares y Recomendaciones de IOSCO relativos a los planes de continuidad de negocios. Boletín Internacional de junio de 2021.

    image_pdf
    La digitalización genera beneficios cuantiosos para el desarrollo de una economía productiva, pero también genera riesgos que pueden afectar tanto a la estabilidad financiera como al denominado riesgo sistémico. Dentro del ecosistema financiero, las plataformas de negociación y los intermediarios financieros están especialmente expuestos a las vulnerabilidades derivadas de la disrupción generada por las nuevas tecnologías.

    Las potenciales vulnerabilidades del sistema demandan reacciones normativas y supervisoras acordes a los principios de flexibilidad y proporcionalidad. La implementación de unos razonables planes de continuidad del negocio es una necesidad, especialmente con la explosión de la denominada digitalización de la economía. Esta nueva realidad demanda que los reguladores y supervisores reaccionen para proteger los pilares del sistema financiero, como son la integridad del mercado, la protección de los inversores y la estabilidad financiera.

    Los planes de continuidad del negocio, conocidos como “business continuity plan” (BCPs) en inglés, son un elemento estratégico para que las empresas, con independencia de su naturaleza, garanticen su supervivencia cuando acaecen situaciones excepcionales como la que estamos padeciendo con esta pandemia.

    Los riesgos actuales más frecuentes provienen, entre otros, de la ciberseguridad, los ataques informáticos, la protección de datos y la estabilidad financiera. En el mundo financiero, el rol específico de las plataformas de negociación e intermediarios financieros demanda una regulación determinada para los mismos por su estrecha conexión con el denominado riesgo sistémico.

    IOSCO ha conducido un peer review entre 33 miembros sobre esta materia que se describe a continuación.

    En diciembre de 2015, el Consejo de IOSCO publicó dos Informes, “Mechanisms for trading venues to effectively manage electronic trading and plans for business continuity” (Trading Venues Report) y “Market intermediary business continuity and recovery planning” (BCP Report), conteniendo dos Recomendaciones y dos Estándares dirigidos a las autoridades reguladoras.

    En noviembre de 2018, el Consejo de IOSCO acordó efectuar un análisis de la implementación de estos Estándares y Recomendaciones en las distintas jurisdicciones, para lo que creó un “Review Team”. Este “Review Team” estaba compuesto, entre otros, por miembros de los supervisores de Nueva Zelanda, Quebec, Sudáfrica, Dubai, España (CNMV) y Turquía. La CNMV desempeñó un papel muy activo en el desarrollo del análisis efectuado.

    Estructura del Peer Review

    En el Informe objeto de este artículo, “Thematic Review on Business Continuity Plans with respect to Trading Venues and Intermediaries”, se efectúa una valoración del grado de cumplimiento de las Recomendaciones y Estándares contenidos en los dos Informes, aprobados por IOSCO en 2015, relativos a los BCPs de las plataformas de negociación e intermediarios financieros.

    En la revisión participaron 33 jurisdicciones. El ejercicio incluye una valoración y clasificación del grado de incorporación de los Estándares y Recomendaciones en la regulación de todas y cada una de las jurisdicciones individualmente consideradas.

    España ha sido clasificada como “fully implemented” en todas las Recomendaciones y Estándares.

    Contenido y valoración de las Recomendaciones y Estándares

    A) Plataformas de negociación

    Recommendation 1: “Regulators should require Trading Venues to have in place mechanisms to help ensure the resiliency, reliability and integrity of critical systems”.

    En relación con la Recomendación 1, referida a las plataformas de negociación, el Informe recomienda lo siguiente:
    • Los reguladores deben asegurar que los denominados sistemas críticos están debidamente garantizados.
    • Las plataformas de negociación deben asegurar la resistencia, fiabilidad e integridad de sus sistemas críticos.
    • El régimen de responsabilidad y gobernanza del consejo y de la dirección de las plataformas de negociación, en relación con sus sistemas críticos, debe estar suficientemente clara y garantizada.
    • En el supuesto de actividades de delegación (“outsourcing”), la resistencia, fiabilidad e integridad del sistema, por parte de los proveedores de los servicios, deben estar garantizadas.
    • Los reguladores debieran poder establecer requisitos adicionales para asegurar revisiones periódicas, así como los denominados “capacity testing” y “periodic stress testing” de sus sistemas críticos.
    Recommendation 2: “Regulators should require Trading Venues to establish, maintain and implement as appropriate a BCP”.
    En relación con la Recomendación 2, relativa a las plataformas de negociación, el Informe recomienda lo siguiente:
    • La regulación debe permitir a los reguladores obtener una copia de los BCPs así como exigir responsabilidades al consejo y a la dirección de las compañías en relación con el establecimiento y mantenimiento de los mismos.
    • En el supuesto de actividades de “outsourcing” por parte de las plataformas de negociación, los reguladores deben valorar la capacidad para exigir que los proveedores de servicios mantengan adecuados BCPs. Existen jurisdicciones donde no es preceptivo efectuar revisiones periódicas y formales de los BCPs, aceptando asimismo la existencia de un tratamiento desigual a los existentes en sus jurisdicciones. Por ello, el Informe establece que las revisiones periódicas y el tratamiento unitario de los BCPs formen parte del contenido de las Recomendaciones.
    B) Market Intermediaries

    Standard 1: “Regulators should require market intermediaries to create and maintain a written business continuity plan identifying procedures relating to an emergency or significant business disruption”.
    En relación con el Estándar 1, relativo a los intermediarios financieros, el Informe recomienda lo siguiente:
    • Las regulaciones deben contener una definición del contenido y concepto de los BCPs.
    • En algunas jurisdicciones se establecen específicas obligaciones para hacer frente tanto a los desastres naturales como a las disrupciones de los sistemas tecnológicos, pero no se requiere a los intermediarios aprobar BCPs con carácter de permanencia. La obligatoriedad de los mismos debiera ser imperativa.
    • La regulación debe delimitar claramente el rol y las responsabilidades del consejo y la dirección de los intermediarios financieros en relación con los BCPs.
    Standard 2: “Regulators should require market intermediaries to update their business continuity plan in the event of any material change to operations, structure, business, or location and to conduct an annual review of it to determine whether any modifications are necessary in light of changes to the market intermediary´s operations, structure, business or location”.

    En relación con el Estándar 2, relativo a los intermediarios financieros, el Informe recomienda lo siguiente:

    • La regulación debiera establecer la obligación de los intermediarios financieros de efectuar revisiones periódicas de los BCPs, así como los períodos mínimos de ejecución de los mismos.
    • La regulación debe explicitar la necesidad de adaptar los BCPs a los cambios y a las nuevas demandas derivadas de las revisiones periódicas efectuadas.
    • La recomendación anterior obedece a la existencia de jurisdicciones donde no es preceptivo adaptar los planes de continuidad de negocios a cambios materiales imprevisibles y sobrevenidos.

    Recomendaciones

    El Informe, en base al análisis efectuado, contiene un conjunto de Recomendaciones generales, que pueden sintetizarse de la siguiente manera:
    • Las regulaciones deben otorgar poderes adecuados a los supervisores para establecer y exigir el cumplimiento de los estándares y recomendaciones sobre BCPs, así como para exigir tanto a las plataformas de negociación como a los intermediarios financieros, el mantenimiento y actualización de sus BCPs.
    • Los reguladores deben valorar, en el ámbito de sus jurisdicciones, la conveniencia de introducir mejoras en sus regulaciones nacionales con independencia del sistema normativo aplicable (rule-based or a principles-based approach).
    • Los reguladores deben analizar la capacidad de resiliencia de los BCPs para afrontar situaciones extremas y disruptivas, como las pandemias, terremotos o similares.
    • Los reguladores deben analizar la obligatoriedad de que en sus regulaciones las plataformas de negociación y los intermediarios financieros aprueben los BCPs, con vocación de permanencia y estabilidad, no solo en situaciones extraordinarias, como los desastres naturales y las pandemias sino también en circunstancias ordinarias, como las perturbaciones de los sistemas IT y similares.
    • La regulación debiera permitir a las autoridades supervisoras exigir que los intermediarios financieros efectúen revisiones periódicas y regulares para actualizar sus BCPs.
    • Los reguladores pueden considerar la conveniencia de introducir en sus regulaciones la imperatividad de introducir tests de estrés (“stress testing”) para los BCPs.
    • Las jurisdicciones con varias autoridades supervisoras deben adoptar acuerdos de cooperación entre ellas para asegurar la coordinación en esta materia.
    Asimismo, se establece también el siguiente conjunto de Recomendaciones:

    a) Los reguladores deben asegurar que sus respectivas regulaciones nacionales les otorguen los poderes necesarios para que puedan exigir el establecimiento y mantenimiento de los BCPs actualizados para las plataformas de negociación y los intermediarios financieros.

    b) Los reguladores pueden reflexionar sobre la necesidad de incluir en sus regulaciones guías específicas y detalladas conforme a la estructura y contenido de la revisión temática objeto del presente escrito.
    c) Los reguladores considerarán si sus regulaciones contienen guías y orientaciones adecuadas para que los BCPs afronten situaciones diversas (desastres naturales, pandemias y emergencias sanitarias).
    d) La regulación debe exigir a los intermediarios que conduzcan actualizaciones y revisiones periódicas y regulares, al menos anualmente, de sus respectivos BCPs. Se podrán exigir revisiones extraordinarias de los mismos para hacer frente, tanto a las demandas derivadas de las revisiones periódicas como a los cambios sustanciales que puedan acaecer.

    COVID 19 y efectos sobre los BCPs

    El Informe incorpora también un resumen anonimizado sobre las medidas adoptadas por las jurisdicciones con ocasión de la pandemia provocada por el Covid-19, entre las que destacan las siguientes reflexiones:
    • El teletrabajo, con sus ventajas indubitadas, incrementa el riesgo de sufrir ciberataques tanto interna como externamente.
    • Los BCPs requieren “testing periódicos” y adaptaciones a los cambios permanentes que demanda el nuevo ecosistema financiero.
    • El uso de los servicios en la nube ayuda a diversificar y mitigar los riesgos derivados de las diferentes localizaciones geográficas de las instalaciones, que la mayoría de los BCPs aconsejan como buena práctica.
    • Los “Primary Data Centre” y los “Disaster Recovery Site” deben estar separados funcional y geográficamente para atenuar los problemas relacionados con la movilidad de la plantilla y preservar el normal funcionamiento de las unidades estructurales de las distintas organizaciones.

    CONCLUSIONES

    La nueva realidad de los ecosistemas financieros demanda que los planes de supervisión de las autoridades nacionales concedan especial atención al establecimiento, funcionamiento y mantenimientos de los BCPs. La estabilidad financiera y el debido tratamiento del riesgo sistémico así lo aconsejan.

    Los principios de resiliencia, confianza y adaptabilidad de los BCPs demandan clarificar el régimen de responsabilidad de los órganos rectores de las plataformas de negociación e intermediarios financieros. Asimismo, demandan la obligatoriedad de actualizar periódicamente el contenido de los BCPs y priorizar su supervisión por las autoridades correspondientes.

    Es aconsejable que los reguladores adopten políticas y procedimientos para promover y asegurar eficaces colaboraciones transfronterizas, incluyendo el pronto y adecuado intercambio de información entre las autoridades competentes, tanto nacionales como internacionales.

    El Covid-19 está siendo una oportunidad para examinar la denominada resiliencia operativa de las plataformas de negociación e intermediarios financieros para afrontar situaciones excepcionales y ordinarias, como lo son los retos derivados del trabajo remoto, los servicios en la nube, la ciberseguridad y la creciente dependencia de los sistemas de IT, entre otros muchos.

    Como continuidad a la revisión temática objeto del presente Informe se va a iniciar, en el seno de los Comités 2 y 3 de IOSCO, un trabajo sobre resiliencia operativa (“operational resilience”) para analizar si los sistemas normativos existentes garantizan la continuidad de las denominadas “operaciones críticas” cuando afrontan situaciones de shock o disruptivas, como la actual pandemia.
     

    Enlaces de interés:

    FR31/2015 Mechanisms for Trading Venues to Effectively Manage Electronic Trading Risks and Plans for Business Continuity (iosco.org)

    FR03/2021 Thematic Review on Business Continuity Plans with respect to Trading Venues and Intermediaries (iosco.org)
     

    Contenido Relacionado

    Informe Final de IOSCO sobre Regulación Transfronteriza
    Informe de IOSCO y el BPI sobre compensación de clientes: acceso y portabilidad. Boletín internacional, noviembre de 2022.
    Informe de IOSCO sobre datos del mercado en los mercados secundarios de renta variable. Boletín Internacional de junio de 2022.
    Informe Final de IOSCO sobre buenas prácticas en los procesos de deferencia. Boletín Internacional de noviembre de 2020.