Orientaciones interinstitucionales sobre las relaciones con terceros: Cómo cumplirlas

La Guía interinstitucional sobre relaciones con terceros armoniza los requisitos del Sistema de la Reserva Federal de los Estados Unidos, la Corporación Federal de Seguros de Depósitos de los Estados Unidos y la Oficina del Contralor de la Moneda. A continuación se presentan las mejores prácticas para preparar su programa de TPRM para el cumplimiento normativo.

Personal de Mitratech
Personal de Mitratech Junio 20, 2023 8 min leer
Decorative image

El 6 de junio de 2023, la Junta de Gobernadores del Sistema de la Reserva Federal (la Junta), la Corporación Federal de Seguros de Depósitos (FDIC) y la Oficina del Contralor de la Moneda (OCC) emitieron una guía uniforme sobre la gestión de riesgos asociados con las relaciones con terceros en las organizaciones bancarias. La Guía interinstitucional sobre relaciones con terceros: gestión de riesgos se basa en la guía de la OCC de 2013 y en las preguntas frecuentes de 2020. Sustituye a las guías existentes de cada agencia sobre relaciones con terceros y se aplica a todas las organizaciones bancarias supervisadas por las agencias.

Dado que se espera el pleno cumplimiento en un plazo de 12 meses, ahora es el momento de que los bancos regulados revisen las recomendaciones y determinen cómo se ven afectados sus programas de gestión de riesgos de terceros. En esta publicación se examinan los objetivos de la Guía y se ofrecen las mejores prácticas para lograr el cumplimiento.

El objetivo de la guía interinstitucional sobre las relaciones con terceros

El objetivo de la Guía interinstitucional es aportar uniformidad y coherencia a la forma en que las entidades bancarias desarrollan y aplican los principios de gestión de riesgos en lo que respecta a las relaciones con terceros. Según el documento, «la guía definitiva ofrece la opinión de las agencias sobre los principios de gestión de riesgos sólidos para las entidades bancarias a la hora de desarrollar y aplicar prácticas de gestión de riesgos en todas las etapas del ciclo de vida de las relaciones con terceros».

Definición y principios de terceros en la guía interinstitucional

La Guía define una relación con terceros como«cualquier acuerdo comercial entre una entidad bancaria y otra entidad, ya sea mediante contrato o de otro modo»;describe el ciclo de vida de la gestión de riesgos de terceros; e identifica los principios aplicables a cada etapa del ciclo de vida de los terceros, tal y como se describe a continuación:

Directrices interinstitucionales sobre las relaciones con terceros: ciclo de vida

Fuente: Junta, FDIC y OCC

Cómo cumplir con la guía interinstitucional sobre relaciones con terceros

Cada uno de los seis principios de la Guía interinstitucional sobre relaciones con terceros se corresponde con una etapa del ciclo de vida de los terceros. A continuación se indican los requisitos clave y las mejores prácticas recomendadas para cada etapa.

1. Planificación

En la fase inicial de una relación con terceros, la Guía recomienda evaluar los tipos y la naturaleza de los riesgos de la relación y desarrollar un plan para gestionar la relación y los riesgos relacionados. Como parte del proceso para establecer o perfeccionar su programa de gestión de riesgos de terceros, tenga en cuenta lo siguiente:

  • Políticas, normas, sistemas y procesos de gobierno para proteger los sistemas y los datos.
  • Funciones y responsabilidades (por ejemplo, RACI) de todos los miembros del equipo involucrados.
  • Inventarios de terceros para comprender la escala y el alcance de la participación de terceros.
  • Enfoques de clasificación y categorización de terceros
  • Puntuación y umbrales de riesgo basados en la tolerancia al riesgo de su organización
  • Metodologías de evaluación
    y supervisión basadas en la criticidad de terceros
  • Participación de terceros y cuartos en la prestación de servicios críticos
  • Fuentes de datos de supervisión continua (cibernética, empresarial, reputacional, financiera)
  • Indicadores clave de rendimiento (KPI) e indicadores clave de riesgo (KRI) para evaluar su programa y a terceros.
  • Requisitos de cumplimiento y presentación de informes contractuales
  • Procesos de respuesta ante incidentes
  • Informes internos para las partes interesadas: para la dirección y el consejo de administración.
  • Estrategias de mitigación y corrección de riesgos

Cada uno de estos elementos es fundamental para crear un plan integral del programa TPRM.

2. Diligencia debida y selección de terceros

Una vez identificado un tercero, es esencial llevar a cabo una diligencia debida exhaustiva antes de seleccionarlo y celebrar un contrato. La Guía interinstitucional sobre relaciones con terceros sugiere que la diligencia debida debe incluir la evaluación de la capacidad del tercero para realizar la actividad según lo previsto, adherirse a las políticas, cumplir con todas las leyes, reglamentos y requisitos aplicables, y operar de manera segura y sólida.

El éxito de esta etapa requiere evaluar y supervisar a terceros en función del alcance de las amenazas a los activos de información mediante la captura, el seguimiento y la cuantificación de los riesgos inherentes. Los criterios utilizados para calcular el riesgo inherente incluyen:

  • Tipo de contenido necesario para validar los controles
  • Importancia crítica para el rendimiento y las operaciones de la empresa
  • Ubicación(es) y consideraciones legales o reglamentarias relacionadas
  • Nivel de dependencia de cuartas partes (para evitar el riesgo de concentración)
  • Experiencia en procesos operativos o de cara al cliente
  • Interacción con datos protegidos
  • Situación económica y salud
  • Reputación

A partir de esta evaluación de riesgos inherentes, su equipo puede clasificar automáticamente a los terceros, establecer los niveles adecuados de diligencia adicional y determinar el alcance de las evaluaciones continuas.

3. Negociación del contrato

La Guía recomienda revisar periódicamente los contratos existentes, en particular aquellos relacionados con actividades críticas, para garantizar que sigan abordando los controles de riesgo y las protecciones legales pertinentes.

Cumplir con estos requisitos implica centralizar la distribución, discusión, retención y revisión de los contratos con terceros, de modo que todos los equipos pertinentes puedan participar en la revisión de los contratos para garantizar que se incluyan y gestionen las cláusulas adecuadas.

Las prácticas clave que se deben tener en cuenta en la gestión de contratos con terceros incluyen:

  • Almacenamiento centralizado de contratos
  • Seguimiento de todos los contratos y atributos de los contratos, como el tipo, las fechas clave, el valor, los recordatorios y el estado, con vistas personalizadas basadas en funciones.
  • Capacidades de flujo de trabajo (basadas en el usuario o en el tipo de contrato) para automatizar el ciclo de vida de la gestión de contratos.
  • Recordatorios automáticos y avisos de vencimiento para agilizar las revisiones de los contratos
  • Debate centralizado sobre los contratos y seguimiento de los comentarios
  • Almacenamiento de contratos y documentos con permisos basados en funciones y registros de auditoría de todos los accesos.
  • Seguimiento del control de versiones que permite editar contratos y documentos fuera de línea.
  • Permisos basados en funciones que permiten la asignación de tareas, el acceso a contratos y el acceso de lectura/escritura/modificación.

Garantizar una gestión adecuada del ciclo de vida de los contratos permitirá a la organización:

  • Gestionar acuerdos y rendimiento
  • Aplicar la retención de información, las cláusulas de derecho a auditoría y las medidas correctivas.
  • Obtener informes de cumplimiento
  • Exigir resiliencia y continuidad empresarial.
  • Aportar visibilidad a la subcontratación y a los terceros con sede en el extranjero.

4. Supervisión continua

Los programas exitosos de gestión de riesgos de terceros incluyen evaluaciones periódicas basadas en controles internos con respecto a marcos estándar de la industria y un monitoreo continuo para confirmar la calidad y la sostenibilidad de los controles de terceros.

Para lograrlo, realice un seguimiento y análisis continuos de las amenazas externas a terceros mediante la supervisión de Internet y la web oscura en busca de amenazas cibernéticas y vulnerabilidades, así como de fuentes públicas y privadas de información sobre reputación, sanciones y finanzas.

Las fuentes de supervisión deben incluir:

  • Foros criminales; miles de páginas onion; foros de acceso especial a la dark web; fuentes de amenazas; y sitios de pegado para credenciales filtradas, así como varias comunidades de seguridad, repositorios de código y bases de datos de vulnerabilidades.
  • Fuentes públicas y privadas de información sobre reputación, incluyendo actividades de fusiones y adquisiciones, noticias empresariales, noticias negativas, actualizaciones operativas y mucho más.
  • Resultados financieros, incluyendo volumen de negocios, pérdidas y ganancias, fondos de los accionistas, etc.
  • Fuentes relacionadas con la reputación, la normativa y las sanciones, incluidos perfiles de personas políticamente expuestas, listas de sanciones globales e información normativa y jurídica.

Correlacione todos los datos de supervisión con los resultados de la evaluación y centralícelos en un registro de riesgos unificado para cada tercero, lo que agilizará la revisión de riesgos, la presentación de informes y las iniciativas de respuesta.

5. Rescisión

Las organizaciones pueden estar expuestas a riesgos posteriores al contrato, pero las investigaciones demuestran que pocas organizaciones llevan a cabo una gestión de riesgos al final de una relación. La Guía Interinstitucional afirma que es importante que la dirección rescinda las relaciones con terceros de manera eficiente, ya sea que las actividades se transfieran a otro tercero, se internalicen o se suspendan.

Para agilizar el proceso de salida de proveedores, automatice las evaluaciones de contratos y los procedimientos de salida para reducir el riesgo de exposición de su organización tras la finalización del contrato:

  • Programe tareas para revisar los contratos y asegurarse de que se han cumplido todas las obligaciones. Emita evaluaciones de contratos personalizables para valorar el estado.
  • Aproveche las encuestas personalizables y los flujos de trabajo para informar sobre el acceso al sistema, la destrucción de datos, la gestión de accesos, el cumplimiento de todas las leyes pertinentes, los pagos finales, etc.
  • Almacene y administre de forma centralizada documentos y certificaciones, como NDA, SLA, SOW y contratos. Aproveche el análisis automatizado de documentos integrado basado en el procesamiento del lenguaje natural de AWS y los análisis de aprendizaje automático para confirmar que se cumplen los criterios clave.
  • Tome medidas prácticas para reducir el riesgo de terceros con recomendaciones y orientación integradas para la corrección.
  • Visualice y aborde los requisitos de conformidad mediante la asignación automática de los resultados de la evaluación a cualquier normativa o marco.

Optimización del cumplimiento de las directrices interinstitucionales sobre relaciones con terceros

Cumplir eficazmente con los requisitos de la Guía es prácticamente imposible si se depende de hojas de cálculo para recopilar, analizar, corregir e informar sobre los controles de ciberseguridad. Con la plataforma de gestión de riesgos de terceros de Prevalent, su institución de servicios financieros puede automatizar y acelerar sus iniciativas de cumplimiento. La plataforma le permite:

  • Desarrolle un programa integral, ágil y maduro de gestión de riesgos de terceros basado en las mejores prácticas probadas del sector financiero.
  • Automatizar la identificación y evaluación de terceros críticos en función de su importancia para la organización.
  • Evaluar y supervisar continuamente a terceros en relación con múltiples tipos de riesgos.
  • Proporcionar recomendaciones de corrección automatizadas a terceros para reducir el riesgo residual.
  • Medir en función de los indicadores clave de rendimiento (KPI) y los indicadores clave de riesgo (KRI) contractuales.
  • Simplificar los informes de auditoría del marco normativo y de seguridad para múltiples partes interesadas internas y externas.
  • Implementar programas prescriptivos de continuidad del negocio y respuesta ante incidentes para garantizar que los terceros cuenten con las políticas y procedimientos necesarios para hacer frente a los riesgos emergentes.
  • Despida de forma segura a terceros mediante un proceso prescriptivo para garantizar que la organización no quede expuesta a riesgos residuales continuos.

Para obtener más información sobre cómo cumplir con la Guía interinstitucional sobre relaciones con terceros, descargue nuestra guía de mejores prácticas o póngase en contacto con nosotros para programar una demostración.

Nota de la Redacción: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido se ha actualizado desde entonces para incluir información alineada con nuestras ofertas de productos, cambios normativos y cumplimiento.
Potenciar. Automatizar. Elevar. Mitratech

©2026 Mitratech, Inc. Todos los derechos reservados.

Potenciar. Automatizar. Elevar. Mitratech

©2026 Mitratech, Inc. Todos los derechos reservados.