En el caso de las entidades reguladas por la MFSA en Malta, las decisiones relativas a la estructura de las funciones de control ya no se consideran meramente operativas ni motivadas por cuestiones de costos.
En la práctica, la Autoridad de Servicios Financieros de Malta (MFSA) presta cada vez más atención a si las funciones reguladoras, de gestión de riesgos y de auditoría interna son:
Como consecuencia, la externalización se ha convertido en una decisión estratégica deliberada para muchas empresas reguladas, especialmente durante el proceso de autorización, en las primeras fases de crecimiento o en períodos de cambios normativos.
Control Externalizado vs Interno: lo que espera la MFSA en la práctica
Desde el punto de vista de la supervisión, la MFSA no evalúa si una función de control se lleva a cabo internamente o se externaliza.
Lo que importa es si la función:
Actúa de forma independiente
Cuenta con la experiencia y la autoridad suficientes
Cuenta con los recursos adecuados
Puede cuestionar a la dirección de manera eficaz
Tiene acceso directo a la junta directiva o al comité de auditoría
En las entidades más pequeñas o de reciente autorización, a menudo resulta difícil cumplir estas expectativas recurriendo únicamente a nombramientos internos, sobre todo cuando las personas desempeñan múltiples funciones o carecen de la experiencia suficiente.
La externalización, cuando se organiza correctamente, puede abordar directamente estos retos.
Por qué externalizar las funciones de control suele ser la opción más práctica
1. Mayor rapidez en el cumplimiento normativo
Durante los procesos de autorización o prórroga de la licencia de la MFSA, se espera que las empresas demuestren que las funciones de control ya están en funcionamiento, y no que solo estén previstas.
Contratar a oficiales de cumplimiento normativo, gestores de riesgos o auditores internos con la experiencia adecuada puede llevar bastante tiempo. La externalización permite a las empresas alcanzar de inmediato el cumplimiento normativo, evitando retrasos innecesarios.
2. Acceso a la experiencia de los profesionales con mayor antigüedad
Las expectativas de la MFSA van más allá, cada vez más, del mero cumplimiento técnico, para abarcar la experiencia, el criterio y el conocimiento normativo.
Los modelos externalizados suelen ofrecer:
Supervisión dirigida por altos cargos
Experiencia en múltiples marcos normativos, como las entidades de dinero electrónico (EMI), los proveedores de servicios de pago (PSP), los Fondos y el Reglamento de la UE sobre los Mercados de Criptoactivos (MiCA)
Conocimiento práctico de las prioridades de supervisión de la MFSA
Esto resulta especialmente valioso para las juntas directivas y los comités de auditoría que buscan una garantía fiable.
3. Independencia y objetividad evidentes
La independencia sigue siendo un tema recurrente en los comentarios de la MFSA en materia de supervisión.
En la práctica, los responsables de la función de control interno en las empresas más pequeñas suelen:
Estar demasiado cerca de las operaciones
Informar a través de los distintos niveles jerárquicos
Combinar varias funciones
Una función externalizada, que rinda cuentas directamente ante la junta directiva o el comité de auditoría, puede demostrar con mayor claridad su independencia de pensamiento y actuación.
Experiencia de alto nivel, independencia y proporcionalidad: argumentos a favor de la externalización
Uno de los principios fundamentales en los que se basa la supervisión de la MFSA es la proporcionalidad.
No se espera que las empresas reproduzcan las estructuras de gobernanza de los grandes bancos. En cambio, se espera que establezcan mecanismos de control adecuados a su tamaño, complejidad y perfil de riesgo.
La externalización favorece la proporcionalidad al permitir a las empresas:
Adaptar el esfuerzo de control al riesgo real
Evitar una gestión excesiva
Centrar los recursos internos en las actividades principales
Mantener una supervisión rigurosa sin incurrir en costos fijos excesivos
En el caso concreto de la auditoría interna, la externalización suele ofrecer una solución más eficaz que mantener un departamento interno pequeño y con recursos insuficientes.
Cuándo resulta especialmente adecuada la externalización
La externalización de las funciones de auditoría regulatoria o interna suele ser adecuada cuando:
La empresa acaba de obtener la autorización o se encuentra en proceso de obtenerla por parte de la MFSA
El negocio está creciendo rápidamente o cambiando su ámbito de actuación
El marco normativo es nuevo o está en evolución (p. ej., MiCA)
La junta directiva requiere una garantía independiente
La contratación de personal con la experiencia adecuada resulta inviable o se está retrasando
En estos casos, la externalización no es una medida provisional, sino una decisión deliberada en materia de gobernanza.
Una perspectiva equilibrada
La externalización no siempre es la solución adecuada.
Las entidades más grandes o complejas pueden beneficiarse de un modelo híbrido, que combine los conocimientos internos con el apoyo de especialistas externos.
Lo que, en última instancia, importa tanto desde el punto de vista de la gobernanza como de la supervisión es que las funciones de control sean eficaces en la práctica, rindan cuentas de forma clara y sean capaces de ejercer un control crítico y ofrecer garantías significativas.
Reflexiones finales
Para las entidades reguladas por la MFSA en Malta, la externalización de las funciones regulatorias, de riesgos o de auditoría interna se ha convertido en un modelo ampliamente aceptado y acorde con los requisitos del regulador, siempre que se aplique correctamente.
Cuando se diseña teniendo en cuenta la antigüedad, la independencia y la proporcionalidad, la externalización puede resultar especialmente útil en un entorno de supervisión basada en resultados:
Cómo puede ayudarle Trident Trust
Trident Trust presta apoyo a las entidades reguladas por la MFSA en Malta mediante servicios externalizados y de colaboración en materia de regulación, gestión de riesgos y auditoría interna, prestados de forma independiente, proporcionada y acorde con las expectativas de las autoridades de supervisión.
Nuestros servicios están diseñados para apoyar a las empresas en las diferentes fases de su ciclo regulatorio, incluyendo la autorización, las primeras fases de funcionamiento y la supervisión continua.
Nuestra asistencia incluye:
Servicios de auditoría interna externalizados: programas de auditoría interna basados en el riesgo, diseñados para respaldar la supervisión de la junta directiva y del comité de auditoría, centrados en la eficacia del gobierno corporativo, el diseño de los controles y la eficacia operativa, de acuerdo con las expectativas de la MFSA.
Funciones de regulación y gestión de riesgos externalizadas y en régimen de co-externalización: Proporcionamos una supervisión independiente y con experiencia, al tiempo que garantizamos una escalación, una presentación de informes y un acceso adecuados a la junta directiva o a la alta dirección.
Apoyo durante los procesos de autorización y prórroga de licencias de la MFSA: Asistencia a las empresas en el establecimiento de funciones de control proporcionadas, marcos de gobernanza y preparación normativa, incluso en los casos en que las funciones se externalicen como parte del modelo operativo propuesto.
Apoyo continuo en materia de gobernanza y garantía: Ayudamos a las empresas a demostrar que los marcos normativos, de riesgo y de control funcionan eficazmente en la práctica, entre otras cosas mediante informes estructurados y el seguimiento de las medidas correctivas.
Apoyo a empresas no pertenecientes a la UE y en fase de crecimiento: Ofrecer soluciones prácticas cuando los recursos internos son limitados o están en fase de evolución, garantizando al mismo tiempo que se cumplan las expectativas normativas en materia de independencia, experiencia y eficacia.
Trident colabora estrechamente con las juntas directivas, la alta dirección y los asesores profesionales para garantizar que los acuerdos de externalización estén claramente definidos, se rijan de forma adecuada y se integren plenamente en el marco de control general de la empresa.
Cuando sea necesario, los servicios pueden prestarse mediante una externalización total o a través de acuerdos de co-externalización que complementen las capacidades internas existentes.
Para obtener más información, ponte en contacto con Keith Zammit o descarga nuestro folleto sobre servicios normativos.