Por: CP Iván Rodríguez. Colaborador de Auditool.
En la dinámica del sector financiero ha adquirido popularidad un modelo de negocio conocido bajo el nombre de "Banca como servicio" o "Banking as a Service" (BaaS) en el cual los proveedores de servicios financieros[1] pueden ofrecer ciertos servicios bancarios a través de aplicaciones APIs (interfaces de programación de aplicaciones) a otras empresas, lo cual les permite integrar servicios bancarios en sus propios productos.
Para que opere BaaS es necesario que un banco proporcione acceso a su infraestructura bancaria mediante una API, la cual opera como un intermediario de software, lo que permite que dos aplicaciones se comuniquen entre sí. Estas APIs permiten al proveedor de servicios financieros (normalmente una Fintech) integrar funcionalidades bancarias en su propia plataforma o aplicación.
Gráfica adaptada de: Banking as a Service (BaaS): Understanding the risks and regulatory landscape
En este modelo de negocio se destacan las siguientes características:
- Integración de Servicios Financieros: BaaS permite a las empresas no bancarias ofrecer servicios financieros a sus clientes sin necesidad de obtener una licencia para ejercer la actividad bancaria completa (Deberá cumplir menores requisitos, de acuerdo con la legislación de la jurisdicción donde opere). Por ejemplo, una aplicación para efectuar pagos en línea puede ofrecer cuentas bancarias y tarjetas de débito emitidas por un banco asociado.
- Empleo de la tecnología: La BaaS está apoyada en las APIs, que permiten la comunicación y transferencia de datos entre los sistemas de los bancos y las aplicaciones de las empresas. Esto facilita la integración de servicios financieros en aplicaciones de terceros.
- Ventajas para las entidades participantes: Los proveedores de servicios pueden atender a sus clientes sin necesidad de incurrir en la complejidad y el costo de mantener la infraestructura de un banco; por su parte, los bancos pueden expandir su alcance y acceder a nuevos mercados y clientes a través de estas asociaciones. A su vez, los consumidores pueden tener acceso a una gama más amplia de servicios financieros a través de nuevas aplicaciones y plataformas.
Ahora bien, aunque BaaS ofrece oportunidades significativas para la innovación y el crecimiento, también presenta una serie de riesgos que los auditores deben conocer y comprender, en particular porque este esquema involucra diferentes organizaciones en su operación. Dentro de los principales riesgos que deben considerarse, se encuentran los siguientes:
Riesgo de cumplimiento
BaaS implica el cumplimiento de diversos requisitos normativos. En este modelo interactúan bancos (que proporcionan la infraestructura) y que son sometidos a exigentes requisitos normativos de transparencia, trato justo, divulgación de tarifas, etc., así como la entidad no bancaria que ofrece los servicios. Al prestar servicios al público, se deben atender normas de protección al consumidor y leyes de protección de datos. En ese sentido, los auditores deben procurar que todas las partes que participan cumplan con las regulaciones pertinentes para evitar sanciones regulatorias y daños reputacionales.
Riesgos de seguridad de la información
Al existir asociación entre las fintech y los bancos, se hace necesario gestionar los riesgos críticos de seguridad de la información, con el propósito de salvaguardar los datos confidenciales y mantener la confianza de los usuarios. Algunas situaciones o inconvenientes que pueden presentarse son violaciones de datos, ciberataques, aprovechamiento de vulnerabilidades de terceros, incumplimiento de los requisitos normativos exigidos, robo de identidad y fraude. Para mitigar estos riesgos, es conveniente contar con medidas sólidas de ciberseguridad, efectuar evaluaciones periódicas de riesgos, capacitar apropiadamente a los empleados, diseñar e implementar políticas de seguridad claras y contar con canales de comunicación abiertos. Actividades tales como las auditorías de seguridad continuas y las pruebas de penetración contribuyen a la identificación y tratamiento proactivo de las vulnerabilidades y debilidades de control evidenciadas.
Riesgo financiero
Tanto los bancos como los proveedores de BaaS están expuestos a riesgos financieros, entre los que se cuentan los riesgos de liquidez y de mercado. En ese sentido, los auditores deben evaluar la situación financiera de las entidades que participan del modelo BaaS para determinar si cuentan, entre otras variables, con el capital y la liquidez adecuados para respaldar las operaciones.
Riesgo de continuidad
Los incumplimientos normativos y las posibilidades de fallos operativos en un ambiente de automatización, inteligencia artificial, aprendizaje automático hacen que los clientes no puedan ser atendidos en debida forma, con la eficiencia y accesibilidad que esperan los supervisores de la actividad financiera, lo que trae como consecuencia importantes sanciones tanto para las empresas de tecnología financiera como para los bancos asociados, que podrían optar por prescindir de este esquema de negocio y así dificultar la continuidad de las entidades proveedoras de servicios financieros.
Frente al anterior panorama, las entidades que participan en el modelo BaaS deben gestionar eficazmente los riesgos que los afectan por lo que antes de asociarse debe haber un exhaustivo trabajo de debida diligencia al seleccionar a los socios del modelo y mantener una supervisión continua para garantizar que se cumplen los requisitos normativos y técnicos para un buen funcionamiento. Un auditor bien capacitado y con los conocimientos suficientes en estos temas se constituye en un elemento vital para afrontar estos desafíos y contribuir con el éxito de las organizaciones en este ambiente de rápida evolución.
[1] Normalmente son Fintech (abreviatura de tecnología financiera), empresas que crean tecnología innovadora para ofrecer servicios y productos financieros. Comprenden una amplia gama de aplicaciones, incluida la banca móvil, el procesamiento de pagos y la tecnología de seguros (insuretech), entre otras.
CP Iván Rodríguez - CIE AF
Auditor y consultor, diplomado en Alta Gerencia de Seguros y Derecho de Seguros. Especialista en Dirección Financiera y Desarrollo Organizacional, diplomado en Gerencia de la Calidad. Contador público (CP) de la Pontificia Universidad Javeriana con 20 años de experiencia en diversas empresas. Tiene amplia experiencia en la elaboración y ejecución de auditorías y revisorías fiscales. Dirección y ejecución de asesorías, consultorías y capacitaciones. Colaborador de Auditool.
Bogotá D.C., Colombia.