Cumplimiento de los requisitos PRA SS2/21 para la gestión de riesgos de terceros

Utilice esta guía para abordar los requisitos de externalización de la Declaración de Supervisión SS2/21 de la Autoridad de Regulación Prudencial (PRA) del Banco de Inglaterra.

Personal de Mitratech
Personal de Mitratech Junio 23, 2022 8 min leer
Decorative image

En marzo de 2022, la Autoridad de Regulación Prudencial (PRA, por sus siglas en inglés) del Banco de Inglaterra activó una nueva Declaración de Supervisión (SS2/21), que establece las expectativas sobre cómo las empresas reguladas por la PRA deben cumplir con los requisitos reglamentarios relativos a la externalización y la gestión de riesgos de terceros para mejorar la resiliencia empresarial.

Aplicable a todos los bancos, empresas de inversión y de seguros del Reino Unido, y a las sucursales británicas de bancos y empresas de seguros extranjeros, los objetivos de la Declaración de Supervisión (SS) son:

"... facilitar una mayor resiliencia y la adopción de la nube y otras nuevas tecnologías ... complementar los requisitos y expectativas sobre resiliencia operativa en el Rulebook de la PRA; SS1/21 ... e implementar las "Directrices sobre acuerdos de externalización" de la Autoridad Bancaria Europea (EBA) (EBA Outsourcing GL)."

La Declaración de Supervisión también aclara la diferencia entre los acuerdos importantes de externalización y no externalización con terceros, establece las expectativas para las evaluaciones y la diligencia debida de terceros, e identifica las áreas que requieren un examen detallado, incluyendo:

  • Seguridad de los datos
  • Derechos de acceso, auditoría e información
  • Subcontratación
  • Continuidad de la actividad y estrategias de salida

En este artículo se examinan los requisitos de evaluación y diligencia debida para terceros, tanto subcontratados como no subcontratados, establecidos en la Declaración de Supervisión. También identifica las capacidades de la Plataforma de Gestión de Riesgos de Terceros Prevalentes que pueden utilizarse para cumplir los requisitos de la PRA.

Comprensión de la Declaración de Supervisión SS2/21 de la PRA Requisitos de gestión de riesgos de terceros

La Declaración de Supervisión SS2/21 exige que las empresas reguladas por la PRA lleven a cabo una Evaluación de Materialidad durante la incorporación de proveedores y, posteriormente, de forma periódica. La PRA espera ser informada de los terceros materiales de cada empresa, por lo que ahora es el momento de asegurarse de que sus terceros siguen las prácticas de resiliencia empresarial y operativa necesarias para cumplir la normativa y minimizar el riesgo para su organización.

Asignación de las capacidades prevalentes a los requisitos de la Declaración de Supervisión SS2/21 de la PRA

La plataforma de gestión de riesgos de terceros de Prevalent puede ayudar a las organizaciones de servicios financieros a cumplir los requisitos de externalización y no externalización de terceros de la norma PRA SS2/21.

NOTA: Esta guía sólo incluye los requisitos más relevantes y no debe considerarse exhaustiva. Para obtener una lista completa de los requisitos, revise detalladamente la Declaración de Supervisión completa y consulte a su auditor.

Sección 2: Definiciones y ámbito de aplicación

Para cumplir los requisitos de los puntos 2.8 y 2.9, la Plataforma Prevalente ofrece:

  • Elaboración de perfiles, clasificación por niveles y puntuación de riesgos inherentes y residuales basada en criterios exhaustivos para identificar a terceros subcontratistas importantes y no importantes.
  • Más de 100 plantillas estandarizadas y evaluaciones de riesgos personalizadas adaptadas a terceros materiales y no materiales con gestión integrada de flujos de trabajo, tareas y pruebas. Las evaluaciones abordan una multitud de marcos basados en la seguridad de las TIC, incluidos Cyber Essentials, ISO 27001, NIST 800-53, GDPR y muchos otros.
  • Gestión de la remediación con orientación incorporada para actuar sobre los riesgos identificados de terceros de externalización de materiales.
  • Informes de conformidad y riesgo por marco o normativa para simplificar el proceso de auditoría.

Sección 3: Proporcionalidad

Para cumplir los requisitos de los puntos 3.6 y 3.7, la Plataforma Preval:

  • Permite a los equipos de seguridad y gestión de riesgos clasificar automáticamente a los proveedores en función de su puntuación de riesgo inherente. Los resultados pueden utilizarse para establecer niveles adecuados de diligencia debida adicional y determinar el alcance de las evaluaciones en curso.
  • Asigna automáticamente la información recopilada de las evaluaciones basadas en controles a marcos normativos como ISO 27001, GDPR y docenas más. Esto le permite visualizar y abordar rápidamente requisitos de cumplimiento importantes y simplificar los procesos de auditoría.
  • Ofrece el Prevalent Compliance Framework (PCF), una evaluación única y completa que permite a los equipos de seguridad y gestión de riesgos asignar respuestas a varios requisitos normativos.

Sección 5: Fase previa a la externalización

Para cumplir los requisitos de los puntos 5.8, 5.10 a 5.13 y 5.18 a 5.24, la Plataforma Prevalente ofrece:

  • Gestión de RFx, que permite a las organizaciones automatizar y añadir inteligencia de riesgos a las decisiones de selección de proveedores.
  • Gestión del ciclo de vida de los contratos, automatización para mejorar la experiencia de contratación de proveedores y supervisión continua de los acuerdos de nivel de servicio.
  • Perfil exhaustivo y clasificación por niveles de terceros para determinar la importancia relativa. Los criterios incluyen la criticidad, las consideraciones reglamentarias, la dependencia de terceros, la exposición operativa, la situación financiera y la reputación.
  • La mayor biblioteca de evaluaciones de riesgos estandarizadas y personalizadas con flujo de trabajo, tareas y gestión de pruebas integrados. Incluye una evaluación de resiliencia empresarial integrada basada en la norma ISO 22301.
  • Supervisión nativa de riesgos cibernéticos, de infracción, empresariales, de reputación y financieros.
    supervisión para evaluar continuamente los riesgos de los proveedores entre las evaluaciones anuales y correlacionar los hallazgos con los resultados de las evaluaciones para determinar si es necesario realizar más investigaciones.
  • Asignación automática de los resultados de la evaluación y la supervisión a NIST, ISO y otros marcos de control para demostrar la conformidad.
  • Orientación sobre la creación de un programa más sólido de resistencia empresarial de terceros.
  • Respuesta a incidentes para identificar y mitigar el impacto de las infracciones de proveedores externos con evaluaciones de eventos, puntuación y orientación para la corrección.

Sección 6: Acuerdos de externalización

Para cumplir los requisitos de 6.3, Prevalent centraliza la distribución, discusión, retención y revisión de los contratos de proveedores. Con estas capacidades, las organizaciones pueden realizar un seguimiento centralizado de todos los contratos y atributos contractuales que puedan afectar a los niveles de servicio, aplicando eficazmente las salvaguardas contractuales.

Sección 7: Seguridad de los datos

Para cumplir los requisitos de la sección 7, Prevalent ofrece una única plataforma de colaboración para realizar evaluaciones de privacidad y mitigar los riesgos de privacidad tanto internos como de terceros. Entre las principales funciones de evaluación de la privacidad y la seguridad de los datos se incluyen:

  • Evaluaciones programadas y mapeo de relaciones para revelar dónde existen datos personales, dónde se comparten y quién tiene acceso a ellos, todo ello resumido en un registro de riesgos que destaca las exposiciones críticas.
  • Evaluaciones del impacto en la privacidad para descubrir datos empresariales e información personal identificable (IPI) en riesgo, lo que le permite analizar el origen, la naturaleza y la gravedad del riesgo y obtener orientaciones para remediarlo.
  • Evaluaciones de proveedores con respecto al GDPR
    y otras normativas sobre privacidad a través del Marco de Cumplimiento Prevalente (PCF), lo que le permite revelar posibles puntos conflictivos mediante la asignación de los riesgos identificados a controles específicos.
  • Asignación de riesgos y respuestas al RGPD a los controles, con calificaciones de cumplimiento porcentuales e informes específicos para las partes interesadas.
  • Una base de datos con más de 10 años de historial de filtraciones de datos de miles de empresas de todo el mundo. Incluye tipos y cantidades de datos robados, cuestiones de cumplimiento y normativas, y notificaciones de violación de datos de proveedores en tiempo real.
  • Incorporación, distribución, debate, conservación y revisión centralizados de los contratos con proveedores. De este modo se garantiza el cumplimiento de las disposiciones sobre protección de datos desde el principio de la relación.

Sección 8: Derechos de acceso, auditoría e información

Para cumplir los requisitos de los puntos 8.7 y 8.9:

  • El Servicio de Validación de Controles Prevalentes revisa las respuestas y la documentación de las evaluaciones de terceros comparándolas con los protocolos de pruebas establecidos para validar que se aplican los controles indicados.
  • Los expertos de Prevalent revisan primero las respuestas de las evaluaciones, ya sean de cuestionarios personalizados o estandarizados. A continuación, asignamos las respuestas a SIG, SCA, ISO, SOC II, AITECH y/u otros marcos de control. Por último, trabajamos con usted para desarrollar planes de corrección y hacer un seguimiento hasta su finalización. Con opciones remotas e in situ disponibles, Prevalent ofrece la experiencia necesaria para ayudarle a reducir el riesgo con sus recursos existentes.
  • Prevalent centraliza certificaciones, acuerdos, contratos y justificantes con gestión integrada de tareas y aceptación, además de funciones de carga obligatoria.

Sección 9: Subcontratación

Para cumplir los requisitos de la sección 9, Prevalent identifica las relaciones de cuarta y enésima parte mediante una evaluación de identificación nativa o escaneando pasivamente la infraestructura pública de la tercera parte. El mapa de relaciones resultante muestra las rutas de información y las dependencias que podrían abrir vías de acceso a un entorno. Los proveedores descubiertos mediante este proceso se supervisan para identificar riesgos financieros, ESG, cibernéticos, empresariales y de violación de datos, así como para la detección de sanciones/PEP.

Sección 10: Continuidad de la actividad y planes de salida

Para cumplir los requisitos de 10.1, 10.3 y 10.9, Prevalente:

  • Ofrece recursos gratuitos para que las organizaciones los utilicen a medida que crean o perfeccionan sus programas de continuidad de la actividad de terceros.
  • Incluye una evaluación exhaustiva de la resistencia empresarial basada en las prácticas de la norma ISO 22301 que permite a las organizaciones:
    • Clasificar a los proveedores en función de su perfil de riesgo y criticidad para la empresa.
    • Esbozar objetivos de punto de recuperación (RPO) y objetivos de tiempo de recuperación (RTO).
    • Centralizar el inventario de sistemas, las evaluaciones de riesgos, los cuadros RACI y las terceras partes.
    • Garantizar una comunicación coherente con los proveedores durante las interrupciones de la actividad.

Cómo ayuda Prevalent a cumplir los requisitos de externalización y gestión de riesgos de terceros de la PRA SS2/21

Prevalent puede ayudar a las organizaciones a automatizar las evaluaciones de importancia relativa y a supervisar continuamente a sus terceros subcontratados y no subcontratados para detectar riesgos de resistencia empresarial. Las capacidades de evaluación y supervisión de Prevalent permiten a las organizaciones determinar y validar si un defecto o fallo en el rendimiento de un proveedor perjudica materialmente:

  • Capacidad de la organización para cumplir las condiciones de umbral
  • Cumplimiento de las Normas Fundamentales o de los Principios de Actuación de la Autoridad de Conducta Financiera (FCA)
  • La estabilidad financiera del Reino Unido
  • Los requisitos de la organización en virtud de la sección de recopilación de información del Rulebook de la PRA.
  • La resistencia financiera u operativa de la organización

Para las organizaciones que han externalizado un control interno o una función clave, Prevalent puede ayudar a determinar si un defecto o un fallo en el rendimiento afectaría negativamente a la función correspondiente. También puede ayudar a determinar el impacto potencial de una interrupción, fallo o rendimiento inadecuado en:

  • riesgo operativo, riesgo de conducta, riesgo de las tecnologías de la información y la comunicación (TIC), riesgo jurídico y riesgo de reputación.
  • la capacidad de la organización para cumplir los requisitos legales y reglamentarios e informar al respecto
  • el acceso de la organización a datos esenciales o el riesgo de violación de datos confidenciales o altamente confidenciales

Próximos pasos para cumplir con la PRA SS2/21

Para obtener más información sobre cómo Prevalent puede ayudarle a cumplir los requisitos establecidos en la Declaración de Supervisión SS2/21 de la PRA, descargue la lista de comprobación de cumplimiento completa o solicite una demostración hoy mismo.

Nota de la Redacción: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido se ha actualizado desde entonces para incluir información alineada con nuestras ofertas de productos, cambios normativos y cumplimiento.
Potenciar. Automatizar. Elevar. Mitratech

©2026 Mitratech, Inc. Todos los derechos reservados.

Potenciar. Automatizar. Elevar. Mitratech

©2026 Mitratech, Inc. Todos los derechos reservados.