La ABE y la gestión de riesgos de terceros
La Autoridad Bancaria Europea (ABE) es una Autoridad independiente de la UE que garantiza una regulación y supervisión eficaces y coherentes en todo el sector bancario europeo. A principios de 2019, la ABE publicó unas Directrices revisadas sobre acuerdos de externalización, que incluyen disposiciones específicas para la gobernanza de los acuerdos de externalización por parte de las entidades financieras y los procesos de supervisión relacionados. Estas directrices son coherentes con los requisitos de externalización en virtud de la Directiva sobre servicios de pago (PSD2), la Directiva sobre mercados de instrumentos financieros (MiFID II) y el Reglamento Delegado (UE) 2017/565 de la Comisión.
Las Directrices de la ABE establecen los mecanismos de gobernanza interna que las entidades de crédito, las entidades de pago y las entidades de dinero electrónico deben aplicar cuando externalicen servicios, actividades o funciones internas. Reconociendo el vasto ecosistema de proveedores de servicios financieros, la ABE dedicó 70 páginas a la gestión de la externalización en el sector de los servicios financieros.
Las Directrices de la ABE exigen una gestión y un seguimiento sólidos de los riesgos de los proveedores de servicios. Especifican que debe existir una política de gestión de riesgos que incluya evaluaciones basadas en controles internos y un seguimiento continuo de los acuerdos de externalización de terceros. La política debe codificarse en un contrato entre la institución financiera y la relación de externalización, con documentación e informes adecuados tanto para los esfuerzos de corrección como para las capacidades de auditoría.
Estos requisitos representan un conjunto completo de controles implantados en toda la organización subcontratante y van mucho más allá del alcance de un simple escaneado automatizado de la infraestructura de cara al exterior.
Requisitos pertinentes
- Distinguir las subcontrataciones "críticas o importantes" de las que no lo son.
-
Realizar la diligencia debida en el proceso de selección de la subcontratación
-
Permitir una evaluación de riesgos adecuada, mediante la cual se identifiquen, gestionen, controlen y notifiquen todos los riesgos operativos potenciales.
-
Exigir contratos que establezcan derechos de acceso y auditoría para los bancos y sus reguladores a fin de garantizar una supervisión eficaz.
-
Realizar una evaluación permanente y un seguimiento continuo, con informes claros a la alta dirección.
-
Poner a disposición de las autoridades toda la documentación en aras de la transparencia
-
Definir una estrategia de salida clara en caso de fallo del proveedor de servicios.
Cumplimiento de las directrices del MEPC de la ABE
A continuación le explicamos cómo Prevalent puede ayudarle a cumplir las directrices de la ABE sobre gestión de riesgos de terceros:
| Directrices de la ABE | Cómo ayudamos |
|---|---|
| Title II – Assessment of Outsourcing Arrangements 4 – Critical or important functions Paragraph 30“Particular attention should be given to the assessment of the criticality or importance of functions if the outsourcing concerns functions related to core business lines.” |
La solución Prevalent Assessment permite a las entidades financieras clasificar a terceros en función de su importancia para la organización. Una selección de cuestionarios personalizables permite ajustar los requisitos de evaluación al nivel de riesgo que presenta la relación. |
| Title III – Governance Framework 5 – Sound governance arrangement and third-party risk Paragraph 32“Institutions and payment institutions should have a holistic institution-wide risk management framework to identify and manage all their risks, including risks caused by arrangements with third parties.” |
Prevalent ofrece la única plataforma unificada y específica del sector para la gestión de riesgos de terceros. Nuestra solución automatiza el proceso de evaluación de riesgos de proveedores de dentro a fuera, a la vez que incluye una supervisión proactiva continua con un enfoque de fuera a dentro para reducir los riesgos y satisfacer las exigencias de cumplimiento normativo. |
| Title III – Governance Framework 5 – Sound governance arrangement and third-party risk Paragraph 33“Institutions and payment institutions should identify, assess, monitor and manage all risks resulting from arrangements with third parties to which they are or might be exposed.” |
El servicio Prevalent Assessment ofrece a los profesionales de la seguridad, la privacidad y la gestión de riesgos una plataforma automatizada para gestionar el proceso de evaluación de riesgos de proveedores y determinar si cumplen los requisitos de seguridad informática, normativos y de privacidad de datos. Emplea cuestionarios estándar y personalizados para ayudar a recopilar pruebas y proporciona flujos de trabajo de corrección bidireccionales, informes en tiempo real y un panel de control fácil de usar para una mayor eficiencia. Con informes claros y orientación para la corrección, la plataforma garantiza que los riesgos se identifiquen y se remitan a los canales adecuados. |
| Título III - Marco de gobernanza 6 - Buen gobierno y externalización Apartado 40, letra c)"A la hora de subcontratar, las instituciones y entidades de pago deben asegurarse al menos de que:
|
La plataforma de gestión de riesgos de terceros de Prevalent ofrece una solución completa para realizar evaluaciones que incluye cuestionarios; un entorno para incluir y gestionar pruebas documentadas en respuesta; flujos de trabajo para gestionar la revisión y abordar las conclusiones; y sólidos informes para proporcionar a cada nivel de gestión la información que necesita para revisar adecuadamente el rendimiento del tercero. |
| Title III – Governance Framework 10 – Internal audit function Paragraph 50“The internal audit function’s activities should cover, following a risk-based approach, the independent review of outsourced activities. The audit plan and programme should include, in particular, the outsourcing arrangements of critical or important functions.” |
La plataforma de gestión de riesgos de terceros de Prevalent incluye informes eficaces para satisfacer los requisitos de auditoría y cumplimiento, así como para presentar las conclusiones al consejo de administración y a la alta dirección. El perfil de riesgo completo puede visualizarse en la consola centralizada de informes en tiempo real, y los informes pueden descargarse y exportarse para determinar el estado de cumplimiento. Los informes detallados incluyen filtros y gráficos interactivos. La solución incluye un repositorio completo de toda la documentación recopilada y revisada durante el proceso de diligencia. |
| Title III – Governance Framework 12.3 – Due Diligence Paragraphs 70 & 71“With regard to critical and important functions, institutions and payment institutions should ensure that the service provider has the business reputation to meet its obligations.Additional factors to be considered include its business model, nature, scale, complexity, financial situation, ownership and group structure.” |
El servicio Prevalent Cyber & Business Monitoring proporciona supervisión de proveedores tanto instantánea como continua para la notificación inmediata de problemas de alto riesgo, priorización y recomendaciones de corrección. La supervisión de la seguridad de los datos y los riesgos empresariales le permite ver más allá de la salud táctica del proveedor para obtener una visión más estratégica del riesgo general de la seguridad de la información de un proveedor.
Prevalent es único en el sentido de que ofrece una supervisión del riesgo empresarial que aprovecha a los analistas humanos para interpretar los posibles riesgos operativos, de marca, normativos, jurídicos y financieros. Algunos ejemplos son:
|
| Title III – Governance Framework 13.2 Security of data and systems Paragraph 82“Where relevant (e.g. in the context of cloud or other ICT outsourcing), institutions and payment institutions should define data and system security requirements within the outsourcing agreement and monitor compliance with these requirements on an ongoing basis.” |
La plataforma de gestión de riesgos de terceros de Prevalent ofrece una solución completa para realizar evaluaciones que incluye cuestionarios; un entorno para incluir y gestionar pruebas documentadas en respuesta; flujos de trabajo para gestionar la revisión y abordar las conclusiones; y sólidos informes para proporcionar a cada nivel de gestión la información que necesita para revisar adecuadamente el rendimiento del tercero. |
| Título III - Marco de gobernanza 13.3 Derechos de acceso, información y auditoría Letra b) del apartado 87"Las instituciones y entidades de pago deben asegurarse de que el proveedor de servicios les concede:
|
La solución Prevalent Assessment garantiza que los proveedores de servicios apliquen exactamente los requisitos acordados, con un seguimiento y una verificación periódicos. Los sólidos informes y las completas funciones de auditoría agilizan la revisión adecuada del rendimiento. El acceso a las evaluaciones y auditorías completadas puede delegarse a los auditores mediante las funciones RBAC estándar de la plataforma. |
| Título III - Marco de gobernanza 13.3 Derechos de acceso, información y auditoría Apartado 91"Las instituciones y entidades de pago pueden utilizar:
|
Las redes de intercambio de pruebas de proveedores de Prevalent son depósitos de cuestionarios de proveedores cumplimentados y validados y de pruebas de apoyo que eliminan el tedioso proceso de recopilación de datos desde cero, que consume tiempo y recursos.
Prevalent ofrece redes horizontales y verticales para agilizar la evaluación y la colaboración dentro de la comunidad. |
| Title III – Governance Framework 14 Oversight of outsourced functions Paragraph 100“Institutions and payment institutions should monitor, on an ongoing basis, the performance of the service providers. Where the risk, nature or scale of an outsourced function has materially changed, institutions and payment institutions should reassess the criticality or importance of that function.” |
Además de facilitar evaluaciones automatizadas y periódicas basadas en controles internos, la plataforma también proporciona ciberseguridad y supervisión empresarial, evaluando continuamente las redes de terceros para identificar posibles puntos débiles que puedan ser explotados por ciberdelincuentes. Prevalent también ofrece pruebas de penetración como servicio para ayudar a los clientes a investigar las operaciones de red de los proveedores a un nivel mucho más granular.
Con la integración de las evaluaciones internas, la supervisión cibernética externa y las pruebas de penetración, las entidades cubiertas obtienen una visión completa de los riesgos de los proveedores, además de orientaciones de corrección claras y procesables para abordar dichos riesgos. |
| Título III - Marco de gobernanza 14 Supervisión de las funciones externalizadas Apartado 104“Institutions and payment institutions should ensure that outsourcing arrangements meet appropriate performance and quality standards in line with their policies by:a. ensuring that they receive appropriate reports from service providers; b. evaluar el rendimiento de los proveedores de servicios utilizando herramientas como indicadores clave de rendimiento, indicadores clave de control, informes de prestación de servicios, autocertificación y revisiones independientes; y c. revisar toda la demás información pertinente recibida del proveedor de servicios, incluidos los informes sobre medidas y pruebas de continuidad de la actividad". |
El servicio de Evaluación Prevalente captura y audita las conversaciones y coteja la documentación o las pruebas con los riesgos. Unos cuadros de mando visualmente atractivos y coherentes ofrecen una visión clara de las tareas, los calendarios, las actividades de riesgo, el estado de finalización de las encuestas, los acuerdos y los documentos asociados. |
| Title III – Governance Framework 14 Oversight of outsourced functions Paragraph 105“If shortcomings are identified, institutions and payment institutions should take appropriate corrective or remedial actions.” |
La solución Prevalent incluye un flujo de trabajo bidireccional y mecanismos de comunicación compartidos para realizar un seguimiento de los hallazgos y solucionar los problemas. |
SP 800-53 r5 Gestión de riesgos en la cadena de suministro (SR) Control
La siguiente tabla incluye un extracto del control de gestión de riesgos de la cadena de suministro SP 800-53 r5 y cómo la plataforma Prevalent aborda los requisitos. Para obtener una descripción completa, descargue la guía completa del NIST.
| SP 800-53 r5 Gestión de riesgos en la cadena de suministro (SR) Control | Cómo ayudamos |
|---|---|
| SR-1 Política y procedimientos | Los servicios de diseño de programas de Prevalent definen y documentan su programa de gestión de riesgos de terceros. Obtendrá un plan claro que tiene en cuenta sus necesidades específicas al tiempo que incorpora las mejores prácticas para la gestión integral de riesgos de terceros. |
| SR-2 Plan de gestión de riesgos en la cadena de suministro | Los servicios de optimización de programas Prevalent le ayudan a mejorar continuamente la implementación de su plataforma Prevalent, garantizando que su programa TPRM mantenga la flexibilidad y agilidad que necesita para cumplir los requisitos empresariales y normativos en constante evolución. |
| SR-3 Controles y procesos de la cadena de suministro | Los servicios de diseño de programas de Prevalent definen y documentan su programa de gestión de riesgos de terceros. Obtendrá un plan claro que tiene en cuenta sus necesidades específicas al tiempo que incorpora las mejores prácticas para la gestión integral de riesgos de terceros. |
| SR-5 Estrategias, herramientas y métodos de adquisición | Prevalent ayuda a los equipos de compras a reducir los costes, la complejidad y la exposición al riesgo durante la selección de proveedores. Nuestra Aspectos esenciales de la RFx Esta solución permite la distribución, comparación y gestión centralizadas de las solicitudes de oferta (RFP) y las solicitudes de información (RFI). Además, te ayuda a adelantarte a riesgos potenciales relacionados con los proveedores con puntuaciones demográficas, de «cuarta parte» y ESG, además de información opcional sobre riesgos empresariales, de reputación y financieros. De este modo, podrás dar un primer paso importante para abordar los riesgos en el ciclo de vida de los terceros.
Una vez completada la selección de proveedores, Prevalent Contract Essentials centraliza la distribución, discusión, retención y revisión de los contratos con proveedores. También incluye funciones de flujo de trabajo para automatizar el ciclo de vida de los contratos, desde la incorporación hasta la baja. Con Contract Essentials, los equipos jurídicos y de compras disponen de una única solución para gestionar los contratos de proveedores, simplificar la gestión y la revisión, y reducir costes y riesgos. |
| SR-6 Evaluaciones y revisiones de proveedores | La plataforma Prevalent incluye más de 600 elementos estandarizados evaluación de riesgos plantillas de encuestas —incluidas las de NIST, ISO y muchas otras—, un asistente para la creación de encuestas personalizadas y un cuestionario que asocia las respuestas a cualquier normativa o marco de cumplimiento. Todas las evaluaciones se basan en estándares del sector y abordan todos los aspectos relacionados con la seguridad de la información en lo que respecta a los controles de seguridad de los socios de la cadena de suministro y a la resiliencia empresarial.
Prevalent Vendor Threat Monitor rastrea y analiza continuamente las amenazas observables externamente para proveedores y otros terceros. El servicio complementa y valida los datos de control de seguridad notificados por los proveedores desde la plataforma Prevalent mediante la supervisión de Internet y la Web oscura en busca de ciberamenazas y vulnerabilidades, y la correlación de los resultados de la evaluación con la investigación sobre riesgos operativos, financieros, legales y de marca en un registro de riesgos unificado que permite la clasificación y respuesta centralizadas a los riesgos. |
| Acuerdos de notificación SR-8 | Con la plataforma Prevalent, puede colaborar en documentos, acuerdos y certificaciones, como NDA, SLA, SOW y contratos, con control de versiones integrado, asignación de tareas y cadencias de revisión automática. También puede gestionar todos los documentos a lo largo del ciclo de vida del proveedor en perfiles de proveedor centralizados. |
| SR-13 Inventario de proveedores | Prevalent ofrece un Cuestionario de evaluación de riesgos inherentes con un sistema de puntuación claro basado en ocho criterios para identificar, supervisar y cuantificar los riesgos de todos los terceros. Los criterios de evaluación incluyen:
Mediante la evaluación de riesgos inherentes, puede establecer automáticamente niveles de proveedores, fijar niveles adecuados de diligencia adicional y determinar el alcance de las evaluaciones periódicas posteriores. La lógica de clasificación por niveles basada en reglas permite clasificar a los proveedores en función de una serie de consideraciones de interacción de datos, financieras, normativas y de reputación. |