Peor aun !! que los bancos hagan outsourcing y no vigilen que estos cumplan los protocolos que se les exigen parece una broma ; que el gobierno les exija pero no los audite o los audite mal parece otra broma .
De hecho los Bancos si vigilan que se cumplan dichos protocolos, cada año por ley deben auditar a sus terceros en cumplimiento de estas políticas, el problema radica fundamentalmente en lo siguiente:
1) Los Bancos, si bien tienen equipos robustos de auditoria, el auditor no siempre va calificado, por estudios o experiencia en el ramo, especialmente esto ultimo, a evaluar el cumplimiento de políticas de Seguridad y Operativas
2) vivimos en Colombia, país donde las empresas falsifican hasta a un papel higiénico, el auditor ve evidencias falsas y no lo culpo cuando el tema a auditar solo se demuestra con papel y por debajo dan instrucciones de limpiar la popó de la mala practica mientras pasa la auditoria.
3) Invertir en control de terceros es muy costoso, y requiere demasiado personal que generaría que contratar a un tercero sea mas caro que hacerlo internamente, y precisamente eso es lo que se busca evitar
4) Curiosamente en las empresas del SFC y en los terceros siempre prima el famoso "no me joda el negocio socio" y los de Seguridad somos conocidos por joderlo, principalmente porque muchos de mis colegas se concentran en bloquear y no necesariamente en implementar controles sólidos que permitan alinearlos con el negocio, entonces van y dan sus datos de Tarjeta de Crédito a los terceros en texto Plano a funcionarios de terceros que únicamente terminaron el bachillerato y pueden hacer maravillas con esa información
5) El Gobierno tiene controles, hace auditorias, el problema es que no puede llegar hasta el fondo de las múltiples subcontrataciones y subcontratistas que tanto Bancos como terceros tienen, es caro y no hay recursos (ej: Banco contrata tercero para envío de mensajes de cobro, tercero contrata otro tercero para tener plataforma, tercero del tercero contrata a otro para que monte los WS de SMS, etc).
6) Para que un auditor saque gran parte de los trapos sucios, debe quedarse 3 meses en sitio mínimo, y si bien muchos lo hacen, no todos pueden, incluso esa practica ya la están eliminando porque los terceros se quejan y buscan complicar la situación.
7) Toda auditoria, incluso entre privados, nacional e internacionalmente, es muestral y tiene riesgos propios, como auditar mal según la muestra tomada, es difícil pedir mas a alguien que solo va de visita un rato (medio día a 1 semana)
Última edición: