En el Informe IOSCO propone siete principios de subcontratación, que se basan en los anteriores Principios de Subcontratación de IOSCO para los Intermediarios del Mercado de 2005 y los Principios de Subcontratación para los Mercados de 2009, con la novedad de que su aplicación se amplía a los centros de negociación, los participantes del mercado que actúan por cuenta propia y las agencias de calificación crediticia. Se recomienda, además, que su aplicación sea tenida en cuenta por las infraestructuras de los mercados financieros.
Ámbito de aplicación
Los Principios de subcontratación se aplican a las entidades reguladas que se encuentren dentro del ámbito de los Comités 2, 3, 6 y 7 de IOSCO, es decir, los centros de negociación, los intermediarios del mercado, los participantes del mercado que actúen por cuenta propia y las agencias de calificación crediticia reguladas.
Los Principios no se dirigen a las infraestructuras de los mercados financieros, que se encuentran ya cubiertas por los Principios del CPMI-IOSCO. No obstante, se recomienda que las infraestructuras de los mercados financieros consideren la aplicación de algunos o todos los principios expuestos en este Informe a sí mismas o a aquellas partes de su infraestructura que no estén formalmente cubiertas por los principios CPMI-IOSCO, en particular en lo que respecta a las áreas que son de reciente creación.
Definición de Subcontratación
En el Informe se define la subcontratación de servicios como una práctica realizada por entidades reguladas, a través de la cual se contrata a un proveedor de servicios para la realización de tareas, funciones, procesos, servicios o actividades que, de otro modo, realizaría la propia entidad regulada.
Responsabilidad legal
La entidad regulada mantiene la responsabilidad legal plena y la obligación de responder ante el regulador de los mercados, en relación con todas las tareas subcontratadas a un proveedor de servicios, en la misma medida en que lo haría si dichos servicios se prestaran internamente. Además, la subcontratación de servicios no debe en ningún caso perjudicar la capacidad del regulador de realizar sus funciones, incluida la supervisión y evaluación adecuadas de la entidad regulada.
Posibles riesgos derivados de los procesos de subcontratación
El Informe menciona varios riesgos relacionados con los procesos de subcontratación, tales como: el riesgo de pérdida de control, el aumento de la exposición a ciberataques y de riesgos de tipo operativo, el riesgo de concentración o escasa competitividad entre las empresas que prestan los servicios subcontratados así como el aumento de los riesgos para una adecuada supervisión por parte de los reguladores de mercados.
Materialidad o carácter crítico de los servicios subcontratados
Los Principios que se proponen en el Informe deben aplicarse en función del grado de materialidad y carácter crítico de la tarea subcontratada. Para ello, la entidad regulada debe desarrollar procesos que le permitan determinar dichos factores en relación con las tareas que pretende externalizar.
Filiales
Los Principios de subcontratación se aplican tanto si las tareas subcontratadas son realizadas por una filial del grupo de la entidad regulada como por una entidad externa al mismo.
Procesos de subcontratación transfronterizos
Los Principios de subcontratación se aplican tanto a las tareas que una entidad regulada subcontrata dentro de su jurisdicción como a aquellas que realiza a nivel transfronterizo.
Subcontratación posterior de las tareas subcontratadas
Las empresas que ofrecen los servicios de subcontratación pueden a su vez subcontratar dichos servicios a otros proveedores, siempre que esta práctica no afecte de forma negativa a la calidad del servicio prestado o provoque un aumento material de los riesgos.
Concentración en el sector de los servicios subcontratados
Cuando un gran número de entidades reguladas utilizan el mismo proveedor de servicios, los riesgos operativos se concentran y pueden aumentar hasta el punto de representar un riesgo sistémico.
En el contexto de los conceptos expuestos anteriormente, los siete Principios que se proponen en el Informe establecen las expectativas para las entidades reguladas que subcontratan tareas, además de proporcionar información útil para su aplicación práctica.
Los Principios propuestos por IOSCO en este Informe en relación con los procesos de subcontratación de servicios son los siguientes:
Principio 1: Las entidades reguladas deben llevar a cabo procesos adecuados de diligencia debida en la selección de sus proveedores de servicios y la supervisión de su desempeño continuo.
Es importante que las entidades reguladas actúen con el debido cuidado y diligencia en la selección de sus proveedores de servicios. En este sentido, deben asegurarse de que los proveedores tienen capacidad suficiente para realizar la tarea subcontratada de manera eficaz en todo momento.
Principio 2: Las entidades reguladas deben mantener contratos legalmente vinculantes y por escrito con cada proveedor de servicios, cuya naturaleza y detalle deben ajustarse a la importancia de la tarea subcontratada.
Un contrato legalmente vinculante es el elemento crítico que sustenta la relación entre la entidad regulada y el proveedor de servicios. Las disposiciones contractuales permiten reducir los riesgos de incumplimiento y facilitan la resolución de posibles desacuerdos en relación con el alcance, la naturaleza y la calidad de los servicios a prestar. Por otro lado, la existencia de un contrato escrito facilita la supervisión de las tareas subcontratadas por parte de la entidad y de los reguladores.
Principio 3: Las entidades reguladas deben tomar las medidas apropiadas para garantizar que, tanto la entidad regulada como cualquier proveedor de servicios, establezcan procedimientos y controles para proteger la información y los programas informáticos relacionados con los clientes, y para garantizar la continuidad del servicio prestado a la entidad regulada, incluyendo un plan de recuperación y pruebas periódicas de los equipos en los que se guarda la información.
La seguridad, efectividad y resiliencia de los sistemas informáticos de las entidades reguladas son fundamentales para los mercados financieros. La relación con proveedores que no cuenten con suficientes medidas de seguridad en sus sistemas puede ocasionar riesgos importantes, que podrían poner en riesgo la privacidad de los inversores y la confidencialidad de la información así como dañar seriamente la reputación de las entidades reguladas y la confianza del mercado sobre las mismas.
Principio 4: Las entidades reguladas deben tomar las medidas apropiadas para garantizar que los proveedores de servicios protejan la información confidencial relacionada con la entidad regulada y sus clientes de la divulgación no autorizada, intencionada o inadvertida, a terceros.
La difusión no autorizada de información confidencial de entidades reguladas o de sus clientes podría tener consecuencias graves, entre las que se incluyen el perjuicio a clientes e inversores, el daño ocasionado a la reputación de la entidad regulada, posibles pérdidas económicas o la revelación no deseada de secretos comerciales.
Principio 5: Las entidades reguladas deben ser conscientes de los riesgos que se plantean, y deben gestionarlos de manera eficaz, cuando dependan de un único proveedor de servicios para tareas subcontratadas importantes o críticas o cuando tengan conocimiento de que un proveedor de servicios presta servicios de subcontratación importantes o críticos a múltiples entidades reguladas, incluida ella misma.
Los riesgos de concentración surgen cuando una entidad regulada depende en gran medida de un mismo proveedor de servicios, o cuando un gran número de entidades reguladas depende de un único proveedor o de un número reducido de proveedores de servicios. Cuando varias entidades reguladas utilizan un proveedor de servicios común, los riesgos operativos se concentran y pueden suponer una amenaza de riesgo sistémico en los mercados.
Principio 6: Las entidades reguladas deben tomar las medidas apropiadas para garantizar que su regulador, sus auditores y ella misma puedan obtener rápidamente, previa solicitud, la información relativa a las tareas subcontratadas que sea relevante para el cumplimiento contractual y/o la supervisión reglamentaria, incluyendo, según sea necesario, el acceso a los datos, los sistemas informáticos y el personal de los proveedores de servicios relacionados con las tareas subcontratadas.
Las entidades reguladas deben facilitar a los reguladores que el acceso a esta información sea rápido y completo, de tal forma que puedan llevar a cabo las inspecciones, investigaciones y tareas de supervisión que consideren oportunas. El alcance de la supervisión por parte de los reguladores no debería verse afectado por la decisión de una entidad regulada de contratar a un proveedor de servicios. Por otro lado, las entidades reguladas conservan la responsabilidad plena ante el regulador en cuanto a las tareas subcontratadas, en la misma medida en que lo harían si el servicio se hubiese prestado internamente.
Principio 7: Las entidades reguladas deben incluir en su contrato con los proveedores de servicios disposiciones relativas a la terminación de las tareas subcontratadas y asegurarse de que mantienen estrategias de salida adecuadas en relación con las mismas.
Cuando se externaliza una tarea aumenta el riesgo de continuidad, ya que existen ciertos elementos relacionados con la misma, como el control diario, la gestión de la información o la formación de empleados, cuya realización ininterrumpida depende en gran medida de que el proveedor de servicios continúe proporcionando sus servicios. Este riesgo debe abordarse mediante un acuerdo entre la entidad regulada y el proveedor de servicios, en el que se determine claramente en qué momento y forma puede darse por concluido el contrato y los efectos de la resolución del mismo, a la vez que se identifiquen medidas que permitan gestionar eficientemente el traspaso de la tarea a la propia entidad regulada o a un nuevo proveedor de servicios.
Por último, cabe mencionar que el Informe aborda brevemente el impacto del COVID-19 sobre los procesos de subcontratación y la capacidad operativa de las entidades reguladas, además de incluir un anexo centrado específicamente en los procesos de subcontratación en las agencias de calificación crediticia.
Enlace de interés: