La ABE y la gestión de riesgos de terceros
La Autoridad Bancaria Europea (ABE) es una Autoridad independiente de la UE que garantiza una regulación y supervisión eficaces y coherentes en todo el sector bancario europeo. A principios de 2019, la ABE publicó unas Directrices revisadas sobre acuerdos de externalización, que incluyen disposiciones específicas para la gobernanza de los acuerdos de externalización por parte de las entidades financieras y los procesos de supervisión relacionados. Estas directrices son coherentes con los requisitos de externalización en virtud de la Directiva sobre servicios de pago (PSD2), la Directiva sobre mercados de instrumentos financieros (MiFID II) y el Reglamento Delegado (UE) 2017/565 de la Comisión.
Las Directrices de la ABE establecen los mecanismos de gobernanza interna que las entidades de crédito, las entidades de pago y las entidades de dinero electrónico deben aplicar cuando externalicen servicios, actividades o funciones internas. Reconociendo el vasto ecosistema de proveedores de servicios financieros, la ABE dedicó 70 páginas a la gestión de la externalización en el sector de los servicios financieros.
Las Directrices de la ABE exigen una gestión y un seguimiento sólidos de los riesgos de los proveedores de servicios. Especifican que debe existir una política de gestión de riesgos que incluya evaluaciones basadas en controles internos y un seguimiento continuo de los acuerdos de externalización de terceros. La política debe codificarse en un contrato entre la institución financiera y la relación de externalización, con documentación e informes adecuados tanto para los esfuerzos de corrección como para las capacidades de auditoría.
Estos requisitos representan un conjunto completo de controles implantados en toda la organización subcontratante y van mucho más allá del alcance de un simple escaneado automatizado de la infraestructura de cara al exterior.
Requisitos pertinentes
- Distinguir las subcontrataciones "críticas o importantes" de las que no lo son.
- Permitir una evaluación adecuada de los riesgos, mediante la cual se identifiquen, gestionen, supervisen y notifiquen todos los riesgos operativos potenciales.
- Realizar evaluaciones y supervisiones continuas, con informes claros para la alta dirección.
- Definir una estrategia de salida clara en caso de fallo del proveedor de servicios.
- Realizar la diligencia debida en el proceso de selección de la subcontratación
- Exigir contratos que establezcan derechos de acceso y auditoría para los bancos y sus reguladores a fin de garantizar una supervisión eficaz.
Cumplimiento de las directrices del MEPC de la ABE
A continuación le explicamos cómo Prevalent puede ayudarle a cumplir las directrices de la ABE sobre gestión de riesgos de terceros:
Directrices de la ABE
Cómo ayudamos
Título II - Evaluación de los acuerdos de externalización
4 - Funciones críticas o importantes
Apartado 30
"Debe prestarse especial atención a la evaluación de la criticidad o importancia de las funciones si la externalización afecta a funciones relacionadas con líneas de negocio básicas".
La solución Prevalent Assessment permite a las entidades financieras clasificar a terceros en función de su importancia para la organización. Una selección de cuestionarios personalizables permite ajustar los requisitos de evaluación al nivel de riesgo que presenta la relación.
Título III - Marco de gobernanza
5 - Buen gobierno y riesgo de terceros
Apartado 32
"Las entidades y las instituciones de pago deben disponer de un marco holístico de gestión de riesgos que abarque toda la entidad para identificar y gestionar todos sus riesgos, incluidos los riesgos causados por acuerdos con terceros."
Prevalent ofrece la única plataforma unificada y específica del sector para la gestión de riesgos de terceros. Nuestra solución automatiza el proceso de evaluación de riesgos de proveedores de dentro a fuera, a la vez que incluye una supervisión proactiva continua con un enfoque de fuera a dentro para reducir los riesgos y satisfacer las exigencias de cumplimiento normativo.
Título III - Marco de gobernanza
5 - Buen gobierno y riesgo de terceros
Apartado 33
"Las entidades y las instituciones de pago deben identificar, evaluar, supervisar y gestionar todos los riesgos derivados de acuerdos con terceros a los que estén o puedan estar expuestas."
El servicio Prevalent Assessment ofrece a los profesionales de la seguridad, la privacidad y la gestión de riesgos una plataforma automatizada para gestionar el proceso de evaluación de riesgos de proveedores y determinar si cumplen los requisitos de seguridad informática, normativos y de privacidad de datos. Emplea cuestionarios estándar y personalizados para ayudar a recopilar pruebas y proporciona flujos de trabajo de corrección bidireccionales, informes en tiempo real y un panel de control fácil de usar para una mayor eficiencia. Con informes claros y orientación para la corrección, la plataforma garantiza que los riesgos se identifiquen y se remitan a los canales adecuados.
Título III - Marco de gobernanza
6 - Buen gobierno y externalización
Apartado 40, letra c)
"A la hora de subcontratar, las instituciones y entidades de pago deben asegurarse al menos de que:
- los riesgos relacionados con los acuerdos de externalización actuales y previstos se identifican, evalúan, gestionan y mitigan adecuadamente, incluidos los riesgos relacionados con las TIC y la tecnología financiera (fintech)."
La plataforma de gestión de riesgos de terceros de Prevalent ofrece una solución completa para realizar evaluaciones que incluye cuestionarios; un entorno para incluir y gestionar pruebas documentadas en respuesta; flujos de trabajo para gestionar la revisión y abordar las conclusiones; y sólidos informes para proporcionar a cada nivel de gestión la información que necesita para revisar adecuadamente el rendimiento del tercero.
Título III - Marco de gobernanza
10 - Función de auditoría interna
Apartado 50
"Las actividades de la función de auditoría interna deben abarcar, siguiendo un enfoque basado en el riesgo, la revisión independiente de las actividades subcontratadas. El plan y el programa de auditoría deben incluir, en particular, los acuerdos de externalización de funciones críticas o importantes."
La plataforma de gestión de riesgos de terceros de Prevalent incluye informes eficaces para satisfacer los requisitos de auditoría y cumplimiento, así como para presentar las conclusiones al consejo de administración y a la alta dirección. El perfil de riesgo completo puede visualizarse en la consola centralizada de informes en tiempo real, y los informes pueden descargarse y exportarse para determinar el estado de cumplimiento. Los informes detallados incluyen filtros y gráficos interactivos. La solución incluye un repositorio completo de toda la documentación recopilada y revisada durante el proceso de diligencia.
Título III - Marco de gobernanza
12.3 - Diligencia debida
Apartados 70 y 71
"Por lo que respecta a las funciones críticas e importantes, las instituciones y entidades de pago deben asegurarse de que el proveedor de servicios tiene la reputación empresarial necesaria para cumplir sus obligaciones.
Otros factores que deben tenerse en cuenta son su modelo de negocio, naturaleza, escala, complejidad, situación financiera, propiedad y estructura del grupo".
El servicio Prevalent Cyber & Business Monitoring proporciona supervisión de proveedores tanto instantánea como continua para la notificación inmediata de problemas de alto riesgo, priorización y recomendaciones de corrección. La supervisión de la seguridad de los datos y los riesgos empresariales le permite ver más allá de la salud táctica del proveedor para obtener una visión más estratégica del riesgo general de la seguridad de la información de un proveedor.
Prevalent es único en el sentido de que ofrece una supervisión del riesgo empresarial que aprovecha a los analistas humanos para interpretar los posibles riesgos operativos, de marca, normativos, jurídicos y financieros.
Algunos ejemplos son:
- Amenazas internas
- Problemas financieros
- Fusiones y adquisiciones
- Despidos
- Casos de violación de datos
- Métricas de reputación
Título III - Marco de gobernanza
13.2 Seguridad de datos y sistemas
Apartado 82
"Cuando proceda (por ejemplo, en el contexto de la externalización de la nube u otras TIC), las entidades y las instituciones de pago deben definir los requisitos de seguridad de los datos y los sistemas dentro del acuerdo de externalización y supervisar el cumplimiento de estos requisitos de forma continua."
La plataforma de gestión de riesgos de terceros de Prevalent ofrece una solución completa para realizar evaluaciones que incluye cuestionarios; un entorno para incluir y gestionar pruebas documentadas en respuesta; flujos de trabajo para gestionar la revisión y abordar las conclusiones; y sólidos informes para proporcionar a cada nivel de gestión la información que necesita para revisar adecuadamente el rendimiento del tercero.
Título III - Marco de gobernanza
13.3 Derechos de acceso, información y auditoría
Letra b) del apartado 87
"Las instituciones y entidades de pago deben asegurarse de que el proveedor de servicios les concede:
- derechos ilimitados de inspección y auditoría relacionados con el acuerdo de externalización ("derechos de auditoría"), para poder supervisar el acuerdo de externalización y garantizar el cumplimiento de todos los requisitos reglamentarios y contractuales aplicables".
Control 15 Visión general "Establecer un programa para desarrollar y mantener una capacidad de respuesta ante incidentes (por ejemplo, políticas, planes, procedimientos, funciones definidas, formación y comunicaciones) para preparar, detectar y responder rápidamente a un ataque."
La solución Prevalent Assessment garantiza que los proveedores de servicios apliquen exactamente los requisitos acordados, con un seguimiento y una verificación periódicos. Los sólidos informes y las completas funciones de auditoría agilizan la revisión adecuada del rendimiento. El acceso a las evaluaciones y auditorías completadas puede delegarse a los auditores mediante las funciones RBAC estándar de la plataforma.
Título III - Marco de gobernanza
13.3 Derechos de acceso, información y auditoría
Apartado 91
"Las instituciones y entidades de pago pueden utilizar:
- auditorías conjuntas organizadas con otros clientes del mismo proveedor de servicios, y realizadas por ellos y estos clientes o por un tercero designado por ellos, para utilizar los recursos de auditoría de forma más eficiente y disminuir la carga organizativa tanto de los clientes como del proveedor de servicios".
Las redes de intercambio de pruebas de proveedores de Prevalent son depósitos de cuestionarios de proveedores cumplimentados y validados y de pruebas de apoyo que eliminan el tedioso proceso de recopilación de datos desde cero, que consume tiempo y recursos.
Prevalent ofrece redes horizontales y verticales para agilizar la evaluación y la colaboración dentro de la comunidad.
Título III - Marco de gobernanza
14 Supervisión de las funciones externalizadas
Apartado 100
"Las entidades y las instituciones de pago deben supervisar, de forma continua, el rendimiento de los proveedores de servicios. Cuando el riesgo, la naturaleza o la escala de una función externalizada hayan cambiado materialmente, las entidades y las entidades de pago deben reevaluar la criticidad o la importancia de dicha función."
Además de facilitar evaluaciones automatizadas y periódicas basadas en controles internos, la plataforma también proporciona ciberseguridad y supervisión empresarial, evaluando continuamente las redes de terceros para identificar posibles puntos débiles que puedan ser explotados por ciberdelincuentes. Prevalent también ofrece pruebas de penetración como servicio para ayudar a los clientes a investigar las operaciones de red de los proveedores a un nivel mucho más granular.
Con la integración de las evaluaciones internas, la supervisión cibernética externa y las pruebas de penetración, las entidades cubiertas obtienen una visión completa de los riesgos de los proveedores, además de orientaciones de corrección claras y procesables para abordar dichos riesgos.
Título III - Marco de gobernanza
14 Supervisión de las funciones externalizadas
Apartado 104
"Las entidades y las instituciones de pago deben garantizar que los acuerdos de externalización cumplen las normas de rendimiento y calidad adecuadas, en consonancia con sus políticas":
a. Garantizar que reciben informes adecuados de los proveedores de servicios;
b. evaluar el rendimiento de los proveedores de servicios utilizando herramientas como indicadores clave de rendimiento, indicadores clave de control, informes de prestación de servicios, autocertificación y revisiones independientes; y
c. revisar toda la demás información pertinente recibida del proveedor de servicios, incluidos los informes sobre medidas y pruebas de continuidad de la actividad".
El servicio de Evaluación Prevalente captura y audita las conversaciones y coteja la documentación o las pruebas con los riesgos. Unos cuadros de mando visualmente atractivos y coherentes ofrecen una visión clara de las tareas, los calendarios, las actividades de riesgo, el estado de finalización de las encuestas, los acuerdos y los documentos asociados.
Título III - Marco de gobernanza
14 Supervisión de las funciones externalizadas
Apartado 105
"Si se detectan deficiencias, las instituciones y las entidades de pago deben adoptar las medidas correctoras o reparadoras adecuadas".
La solución Prevalent incluye un flujo de trabajo bidireccional y mecanismos de comunicación compartidos para realizar un seguimiento de los hallazgos y solucionar los problemas.
