Directrices de externalización de MAS y gestión de riesgos de terceros

La Autoridad Monetaria de Singapur (MAS) ha establecido requisitos detallados para gestionar las relaciones de externalización y no externalización con terceros. Descubra cómo puede simplificar las auditorías de la MAS con estas prácticas recomendadas.

Personal de Mitratech
Personal de Mitratech Marzo 6, 2023 6 min leer
Decorative image

Fundada en 1970, la Autoridad Monetaria de Singapur (MAS) es un banco central y regulador financiero que supervisa de forma prudencial todas las instituciones financieras de Singapur, lo que incluye garantizar la resiliencia financiera y operativa frente a los riesgos. En julio de 2016, la MAS publicó unas directrices sobre la externalización de acuerdos con terceros. La MAS amplió sus directrices sobre externalización en octubre de 2018 y, de nuevo, en agosto de 2022 con la publicación de un documento informativo titulado «Gestión del riesgo operativo: gestión de la externalización y los acuerdos con terceros». En el documento informativo, la MAS:

  • Publicó requisitos detallados sobre cómo lograr una mejor supervisión y gobernanza de terceros; y
  • Se ha establecido una guía completa sobre cómo llevar a cabo la debida diligencia a lo largo del ciclo de vida de los acuerdos de externalización.

La siguiente figura identifica los tipos de aprobaciones necesarias, las evaluaciones, la frecuencia de las evaluaciones y la documentación de diligencia debida que debe proporcionarse para respaldar las evaluaciones, tal y como se explica en el documento informativo sobre la gestión de la externalización y los acuerdos con terceros.

Ejemplo de caso MAS 3

Cortesía: Gestión del riesgo operativo – Gestión de la externalización y los acuerdos con terceros – Observaciones y expectativas de supervisión de las inspecciones temáticas – Documento informativo, agosto de 2022.

Esta publicación examina las disposiciones clave del MAS que rigen los acuerdos de externalización y no externalización, e identifica las capacidades de mejores prácticas que pueden utilizarse para abordar los requisitos del MAS.

Directrices sobre externalización y no externalización de MAS

El documento informativo «Gestión del riesgo operativo del MAS: gestión de la externalización y los acuerdos con terceros», capítulo 3, incluye orientaciones específicas para las instituciones financieras en las siguientes áreas generales del ciclo de vida de la gestión del riesgo de terceros:

  • Gobernanza y supervisión de la gestión
  • Identificación y clasificación de riesgos
  • Diligencia debida (incluida la incorporación y las revisiones periódicas)
  • Gestión y supervisión continuas de los riesgos

Gobernanza y supervisión de la gestión

MAS exige a las organizaciones de servicios financieros que establezcan una estructura y un marco de gobernanza, definan su apetito de riesgo y establezcan un sistema de información para la dirección.

Para abordar estos requisitos, las organizaciones de servicios financieros deben considerar la definición de los siguientes criterios como parte de su programa de gestión de riesgos de terceros:

  • Políticas, normas, sistemas y procesos para proteger los datos
  • Funciones y responsabilidades claras (por ejemplo, RACI) para todos los miembros del equipo.
  • Puntuación y umbrales de riesgo basados en la tolerancia al riesgo de su organización
  • Metodologías de evaluación y supervisión basadas en la criticidad de terceros
  • Mapeo de cuarta parte para determinar las dependencias ascendentes
  • Fuentes de datos de supervisión continua (por ejemplo, cibernética, empresarial, reputacional, financiera) para proporcionar información constante sobre los riesgos emergentes.
  • Indicadores clave de rendimiento (KPI) e indicadores clave de riesgo (KRI) contractuales con los que comparar.
  • Requisitos de respuesta ante incidentes para prepararse ante posibles interrupciones
  • Informes para satisfacer las necesidades de múltiples partes interesadas internas (y externas)
  • Estrategias de mitigación y remediación de riesgos, incluida la aplicabilidad de controles compensatorios.

Muchas organizaciones optan por alinearse con un marco de gestión de riesgos aceptado, como ISO, para lograrlo. Si desea automatizar el proceso de medición de su programa TPRM en relación con un marco industrial, asegúrese de seleccionar una plataforma de evaluación que ofrezca varias opciones de cuestionarios predefinidos que se ajusten a múltiples marcos.

Identificación y categorización de riesgos

MAS exige a las organizaciones que identifiquen y clasifiquen las dependencias de terceros. Esto incluye establecer un marco de gestión y gobernanza; identificar y hacer un inventario de los terceros; clasificarlos en función de su naturaleza y características de riesgo; y establecer criterios para determinar los requisitos de gobernanza y diligencia debida a los que deben estar sujetos.

Para hacer frente a estos requisitos, las instituciones financieras deben:

  • Cree un perfil completo del proveedor que incluya información demográfica, propiedad, rendimiento financiero, puntuaciones del IPC, declaraciones sobre la esclavitud moderna, información sobre el sector y el negocio, y mapas de relaciones con terceros potencialmente riesgosas. Esto ayuda a centralizar la información de terceros, proporcionando una única fuente de información veraz para la gestión de proveedores a lo largo de todo el ciclo de vida de la relación.
  • Realizar evaluaciones de riesgos inherentes a sus terceros con el fin de clasificarlos; establecer niveles adecuados de diligencia adicional; y determinar el alcance de las evaluaciones continuas para todos los terceros. Los criterios pueden incluir:
  • Importancia crítica para el rendimiento y las operaciones de la empresa
  • Ubicación(es) y consideraciones legales o reglamentarias relacionadas
  • Nivel de dependencia de cuartas partes (para evitar el riesgo de concentración)
  • Experiencia en procesos operativos o de cara al cliente

Diligencia debida (incorporación y revisión periódica)

En cuanto a la diligencia debida y la realización de revisiones periódicas, la MAS recomienda tomar los resultados generados a partir del ejercicio de identificación y categorización de riesgos y desarrollar un plan de incorporación que facilite las revisiones continuas.

Las evaluaciones de riesgos de terceros deben realizarse al inicio de una relación para obtener una visión general de los riesgos que el tercero representa para su organización; en el momento de la renovación del contrato; y siempre que se produzca un evento importante, como una infracción, un incumplimiento normativo u otra deficiencia. Entre los factores críticos para el éxito se incluyen el acceso a una amplia biblioteca de plantillas de cuestionarios para añadir flexibilidad a las tareas de evaluación, y recomendaciones de medidas correctivas prescriptivas para exigir responsabilidades a los terceros. Como parte de este proceso, asegúrese de:

  • Revisar las respuestas y la documentación de las evaluaciones de terceros en comparación con los protocolos de prueba establecidos para validar que se hayan implementado los controles indicados.
  • Asigne las respuestas al marco de control seleccionado por su organización.
  • Desarrollar planes de remediación y realizar un seguimiento hasta su finalización.

Gestión y supervisión continuas de riesgos

Para permitir una gestión continua del riesgo, la MAS recomienda implementar herramientas y mecanismos adecuados de supervisión del riesgo para gestionar el riesgo de terceros. Supervise Internet y la web oscura en busca de amenazas y vulnerabilidades cibernéticas, así como fuentes públicas y privadas de información sobre reputación, sanciones e información financiera.

Todos los datos de supervisión deben correlacionarse con los resultados de la evaluación y centralizarse en un registro de riesgos unificado para cada tercero, lo que agiliza la revisión de riesgos, la presentación de informes y las iniciativas de respuesta. Los riesgos pueden clasificarse en un mapa de calor con ejes de probabilidad e impacto.

Las fuentes de supervisión deben incluir una combinación de fuentes cibernéticas y no cibernéticas para obtener una visión completa del riesgo de un tercero. Algunos ejemplos son:

  • Ciberespacio: foros criminales; páginas onion; foros de acceso especial a la Dark Web; fuentes de amenazas; sitios de pegado para credenciales filtradas; comunidades de seguridad; repositorios de código; bases de datos de vulnerabilidades; y bases de datos de violaciones de datos.
  • Negocios: Actividad de fusiones y adquisiciones; noticias empresariales; y actualizaciones operativas.
  • Reputación: Noticias negativas y personas políticamente expuestas (PEP).
  • Regulatorio y legal: listas de sanciones globales; y listas de cumplimiento globales y presentaciones judiciales.
  • Financiero: Rendimiento financiero; puntuaciones crediticias; fondos de los accionistas; propiedad efectiva.

Cómo Prevalent ayuda a cumplir los requisitos de gestión de riesgos de terceros de MAS

La plataforma de gestión de riesgos de terceros Prevalent automatiza los flujos de trabajo necesarios para incorporar, revisar periódicamente y rescindir acuerdos de externalización con terceros, tanto materiales como no materiales, y ofrece funciones clave para que varios equipos centralicen la gestión de riesgos de terceros en toda la empresa. La solución ofrece funciones específicas que satisfacen todos los requisitos de diligencia debida, desde la aprobación hasta la rescisión.

Prevalent ayuda a las organizaciones financieras a añadir gobernanza y supervisión a sus acuerdos de externalización y no externalización mediante:

  • Creación de un programa de gestión de riesgos de terceros completo, ágil y maduro basado en las mejores prácticas probadas del sector financiero.
  • Centralización de perfiles de terceros para crear un único inventario a nivel empresarial de acuerdos de externalización y no externalización.
  • Automatizar la identificación y evaluación de terceros críticos en función de su importancia para la organización.
  • Evaluación y supervisión continua de los riesgos relacionados con la ciberseguridad, el negocio, las finanzas y la reputación.
  • Medición en función de los indicadores clave de rendimiento (KPI) y los indicadores clave de riesgo (KRI)
  • Proporcionar recomendaciones de remediación para reducir el riesgo residual de terceros.
  • Incluye plantillas para simplificar los informes de auditoría del marco normativo y de seguridad a múltiples partes interesadas internas y externas.

Para obtener más información sobre cómo Prevalent puede ayudarle a cumplir los requisitos de la Gestión de riesgos operativos de la MAS (Gestión de la externalización y los acuerdos con terceros), descargue nuestra lista de verificación completa de la MAS o solicite una demostración hoy mismo.

Nota de la Redacción: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido se ha actualizado desde entonces para incluir información alineada con nuestras ofertas de productos, cambios normativos y cumplimiento.
Potenciar. Automatizar. Elevar. Mitratech

©2026 Mitratech, Inc. Todos los derechos reservados.

Potenciar. Automatizar. Elevar. Mitratech

©2026 Mitratech, Inc. Todos los derechos reservados.