Cumplimiento de la Autoridad Monetaria de Singapur (MAS)

Contactar con un experto

Volver a todos los casos de uso

Directrices para la gestión del riesgo operativo - Gestión de acuerdos con terceros

Como parte de su función de regulador prudencial, la Autoridad Monetaria de Singapur (MAS ) publicó en 2016 directrices sobre la externalización de acuerdos con terceros. La MAS amplió sus directrices sobre externalización en octubre de 2018, y de nuevo en agosto de 2022 con la publicación de un documento informativo, Operational Risk Management - Management of Outsourcing and Third Party Arrangements.

Además de publicar requisitos detallados sobre cómo lograr una mejor supervisión y gobernanza de terceros, la MAS ha establecido orientaciones exhaustivas sobre la realización de la diligencia debida a lo largo del ciclo de vida de los acuerdos de externalización. La MAS incluye orientaciones específicas para las instituciones financieras en las siguientes áreas del ciclo de vida de la gestión del riesgo de terceros:

  • Identificación y clasificación de riesgos
  • Gobernanza y supervisión de la gestión
  • Diligencia debida (incluida la incorporación y las revisiones periódicas)
  • Gestión y supervisión continuas de los riesgos

Requisitos pertinentes

  • Garantizar que los terceros a los que se recurre para la prestación de servicios están sujetos a una gobernanza adecuada, a una gestión de riesgos y a controles internos sólidos.

  • Aplicar una gestión de riesgos adecuada y controles internos sólidos para regular los acuerdos de externalización y no externalización.

  • Evaluar los riesgos derivados de los servicios prestados por terceros y aplicar controles acordes con la naturaleza y el alcance de los riesgos.

Cumplimiento de las directrices de la MAS sobre MTDR

La tabla resumen que figura a continuación relaciona las capacidades de la Plataforma de Gestión de Riesgos de Terceros Prevalentes con determinados artículos del documento informativo MAS Operational Risk Management - Management of Outsourcing and Third Party Arrangements, capítulo 3.

NOTA: Éste es sólo un resumen de los artículos más relevantes, y no debe considerarse una guía exhaustiva y definitiva. Para obtener una lista completa de artículos, por favor revise el documento completo en detalle y consulte a su auditor.

Controles MAS

Cómo ayudamos

A: Controles de los acuerdos de subcontratación

Esta sección sobre los controles de los acuerdos de externalización describe las prácticas en:

I) Gobernanza y supervisión de la gestión;
II) Diligencia debida (incorporación y revisiones periódicas); y
III) Gestión y supervisión continuas del riesgo.

I) Gobernanza y supervisión de la gestión

Estructura y marco de gobernanza de la externalización

"Los bancos establecen una estructura y un marco de gobernanza adecuados para que la dirección supervise y preste la debida atención a los riesgos derivados de los acuerdos de externalización, con el fin de garantizar que los riesgos asumidos se ajustan a las estrategias y a la propensión al riesgo de los bancos".

"Al adoptar un enfoque basado en el riesgo, los bancos se aseguran de que su marco de aprobación facilita la evaluación por parte de la dirección de la materialidad y los riesgos de los acuerdos de externalización existentes y futuros. Los procesos que apoyan la evaluación y aprobación de los acuerdos de externalización son suficientemente sólidos y eficaces."

Establecimiento de un apetito de riesgo de externalización adecuado

"Los bancos establecen una estrategia y una propensión al riesgo adecuadas para definir la naturaleza y el alcance del riesgo que están dispuestos y son capaces de asumir por sus acuerdos de externalización."

Prevalent se asocia con usted para crear un programa integral de gestión de riesgos de terceros (TPRM) basado en las mejores prácticas probadas y una amplia experiencia en el mundo real.

Nuestros expertos colaboran con su equipo en la definición e implantación de procesos y soluciones de GTRC; la selección de cuestionarios y marcos de evaluación de riesgos; y la optimización de su programa para abordar todo el ciclo de vida del riesgo de terceros -desde el abastecimiento y la diligencia debida, hasta la rescisión y la baja- de acuerdo con el apetito de riesgo de su organización.

Como parte de este proceso, Prevalent puede ayudarle a definir:

  • Funciones y responsabilidades claras (por ejemplo, RACI)
  • Inventarios de terceros
  • Puntuación y umbrales de riesgo basados en la tolerancia al riesgo de su organización
  • Metodologías de evaluación y supervisión basadas en la criticidad de terceros
  • Cartografía de cuarta parte
  • Fuentes de datos de supervisión continua (cibernética, empresarial, de reputación, financiera)
  • Indicadores clave de resultados (KPI) e indicadores clave de riesgo (KRI)
  • Políticas, normas, sistemas y procesos para proteger los datos
  • Cumplimiento y presentación de informes contractuales sobre los niveles de servicio
  • Requisitos de respuesta a incidentes
  • Información sobre riesgos y partes interesadas internas
  • Estrategias de mitigación y corrección de riesgos

Informes de gestión sobre externalización

"Los bancos disponen de procesos eficaces que les permiten tener una visión global de la exposición al riesgo derivado de la externalización. Se informa periódicamente a la dirección sobre los perfiles de riesgo de externalización, los problemas significativos de externalización y los KRI, para facilitar la supervisión del panorama de riesgos de externalización, las tendencias y las preocupaciones."

Prevalent ayuda a las instituciones financieras a revelar las tendencias de riesgo, el estado de riesgo de terceros y las excepciones al comportamiento común con conocimientos de aprendizaje automático (ML) integrados y vistas de informes personalizables en función de la función.

Además, Prevalent ayuda a medir de forma centralizada los indicadores clave de rendimiento (KPI) y los indicadores clave de rendimiento (KRI) de terceros para reducir los riesgos derivados de las lagunas en la supervisión de los proveedores mediante la automatización de las evaluaciones de los contratos y el rendimiento, y proporcionando un marco para medir en función de los requisitos.

Con esta capacidad, las IF pueden identificar rápidamente valores atípicos que podrían justificar una investigación más profunda y mejorar la eficacia de la reducción de riesgos poniendo los datos correctos en las manos adecuadas.

II) Diligencia debida (incorporación y revisiones periódicas)

Diligencia debida (incorporación y revisiones continuas)

"Los bancos especifican requisitos claros y ofrecen orientación exhaustiva sobre los procesos de diligencia debida y evaluación de riesgos para la incorporación de nuevos acuerdos de externalización y las revisiones periódicas de los existentes. Estos procesos son proporcionales a los riesgos que entrañan y tienen debidamente en cuenta factores de riesgo como los acuerdos que implican compartir datos de los clientes. Los bancos instituyen los controles y equilibrios necesarios para garantizar que estos requisitos y procesos son objeto de un seguimiento adecuado para su cumplimiento en el momento oportuno.

"Los bancos recurren a las PYME pertinentes para determinar si los elementos técnicos de los riesgos relativos a un acuerdo de externalización se tienen debidamente en cuenta".

Prevalent ofrece una evaluación de diligencia debida previa al contrato con una puntuación clara basada en ocho criterios para capturar, rastrear y cuantificar los riesgos inherentes para todos los terceros. Los criterios incluyen:

  • Tipo de contenido necesario para validar los controles
  • Importancia crítica para el rendimiento y las operaciones de la empresa
  • Ubicación(es) y consideraciones legales o reglamentarias relacionadas
  • Nivel de dependencia de cuartas partes (para evitar el riesgo de concentración)
  • Experiencia en procesos operativos o de cara al cliente
  • Interacción con datos protegidos
  • Situación económica y salud
  • Reputación

Utilizando esta evaluación de riesgos inherente, su equipo puede establecer automáticamente niveles de proveedores, fijar niveles adecuados de diligencia adicional y determinar el alcance de las evaluaciones en curso.

La lógica de clasificación por niveles basada en reglas permite categorizar a los proveedores utilizando una serie de consideraciones de interacción de datos, financieras, normativas y de reputación.

Prevalent cuenta con una biblioteca de más de 750 plantillas prediseñadas para evaluaciones de riesgos de terceros. Las evaluaciones pueden realizarse en el momento de la renovación del contrato o con la frecuencia que se desee (por ejemplo, trimestral o anualmente). Los cuestionarios de evaluación pueden ser globales o regionales para responder a requisitos legales u operativos específicos.

Prevalent ofrece recomendaciones de corrección integradas basadas en los resultados de la evaluación de riesgos. Estas recomendaciones están respaldadas por funciones de flujo de trabajo y gestión de tareas para garantizar que los terceros aborden los riesgos de forma oportuna y satisfactoria.

III) Gestión y supervisión continuas de los riesgos

Marco de control de los acuerdos de externalización

"Los bancos establecen un marco estructurado para la supervisión y el control continuos de los acuerdos de externalización, con una participación adecuada de partes independientes para proporcionar un desafío y una supervisión efectivos a las unidades de negocio que originan los acuerdos de externalización."

El Servicio de Validación de Controles Prevalentes revisa las respuestas y la documentación de las evaluaciones de terceros comparándolas con los protocolos de pruebas establecidos para validar que se aplican los controles indicados.

Los expertos de Prevalent revisan primero las respuestas de evaluación de cuestionarios personalizados o estandarizados. A continuación, asignamos las respuestas a SIG, SCA, ISO, SOC II, AITECH y/u otros marcos de control. Por último, trabajamos con usted para desarrollar planes de corrección y hacer un seguimiento hasta su finalización. Con opciones remotas e in situ disponibles, Prevalent ofrece la experiencia necesaria para ayudarle a reducir el riesgo con sus recursos existentes.

Implantar controles de ciberseguridad durante toda la duración del contrato

Considere la ciberseguridad a lo largo de todo el ciclo de vida del contrato: desde la decisión de subcontratar, la selección del proveedor, la adjudicación del contrato, la entrega del proveedor hasta la rescisión. Piense qué prácticas pueden introducirse para asegurarse de que esto ocurre en cada adquisición.

Prevalent rastrea y analiza continuamente las amenazas externas a terceros. La solución vigila Internet y la dark web en busca de ciberamenazas y vulnerabilidades, así como fuentes públicas y privadas de información sobre reputación, sanciones y finanzas.

Todos los datos de supervisión se correlacionan con los resultados de la evaluación y se centralizan en un registro de riesgos unificado para cada proveedor, lo que agiliza las iniciativas de revisión de riesgos, elaboración de informes y respuesta. Los riesgos pueden clasificarse en una vista de mapa de calor con ejes de probabilidad e impacto.

Las fuentes de seguimiento incluyen:

  • Más de 1.500 foros de delincuentes; miles de páginas cebolla; más de 80 foros de acceso especial a la web oscura; más de 65 fuentes de amenazas; y más de 50 sitios de pegado de credenciales filtradas, así como varias comunidades de seguridad, repositorios de código y bases de datos de vulnerabilidades que abarcan 550.000 empresas.
  • Una base de datos con más de 10 años de historial de violaciones de datos de miles de empresas de todo el mundo.
  • 550.000 fuentes públicas y privadas de información sobre reputación, como fusiones y adquisiciones, noticias empresariales, noticias negativas, información reglamentaria y jurídica, actualizaciones operativas, etc.
  • Una red mundial de 2 millones de empresas con 5 años de cambios organizativos y resultados financieros, incluidos volumen de negocio, pérdidas y ganancias, fondos de accionistas, etc.
  • 30.000 fuentes de noticias de todo el mundo
  • Una base de datos con más de 1,8 millones de perfiles de personas políticamente expuestas
  • Listas mundiales de sanciones y más de 1.000 listas y expedientes judiciales de aplicación de la normativa mundial
  • Rendimiento, desde el cumplimiento de los KPI de los contratos y las correcciones a los SLA y los plazos incumplidos.

B: Controles de los acuerdos de no subcontratación (NOA)

Esta sección sobre los controles de los NOA describe las prácticas observadas en los bancos en las siguientes áreas en un marco de gestión de riesgos de terceros:

I) Identificación y categorización de riesgos;
II) Gobernanza y supervisión de la gestión; y
III) Diligencia debida y supervisión continua.

I) Identificación y clasificación de riesgos

Identificación de riesgos y categorización de las dependencias de terceros

"Los bancos disponen de un marco de gestión de riesgos de terceros y de gobernanza para gestionar sus dependencias de terceros no subcontratados.
Los bancos identifican e inventariar una lista exhaustiva de NOA, y los clasifican en función de su naturaleza y características de riesgo.

"Los bancos establecen criterios claros para evaluar el riesgo de sus NOA, a fin de determinar los requisitos de gobernanza y diligencia debida a los que deben someterse. Se presta la debida consideración a factores de riesgo como los acuerdos que implican compartir datos de clientes."

Prevalent se asocia con usted para crear un programa integral de gestión de riesgos de terceros (TPRM) basado en las mejores prácticas probadas y una amplia experiencia en el mundo real.

Nuestros expertos colaboran con su equipo en la definición e implantación de procesos y soluciones de GTRC; la selección de cuestionarios y marcos de evaluación de riesgos; y la optimización de su programa para abordar todo el ciclo de vida del riesgo de terceros -desde el abastecimiento y la diligencia debida, hasta la rescisión y la baja- de acuerdo con el apetito de riesgo de su organización.

Como parte de este proceso, Prevalent puede ayudarle a definir:

  • Funciones y responsabilidades claras (por ejemplo, RACI)
  • Inventarios y categorización de terceros
  • Puntuación y umbrales de riesgo basados en la tolerancia al riesgo de su organización
  • Metodologías de evaluación y supervisión basadas en la criticidad de terceros
  • Cartografía de cuarta parte
  • Fuentes de datos de supervisión continua (cibernética, empresarial, de reputación, financiera)
  • Indicadores clave de resultados (KPI) e indicadores clave de riesgo (KRI)
  • Políticas, normas, sistemas y procesos para proteger los datos
  • Cumplimiento y presentación de informes contractuales sobre los niveles de servicio
  • Requisitos de respuesta a incidentes
  • Información sobre riesgos y partes interesadas internas
  • Estrategias de mitigación y corrección de riesgos

Prevalent ofrece una evaluación de diligencia debida previa al contrato con una puntuación clara basada en ocho criterios para capturar, rastrear y cuantificar los riesgos inherentes para todos los terceros. Los criterios incluyen:

  • Tipo de contenido necesario para validar los controles
  • Importancia crítica para el rendimiento y las operaciones de la empresa
  • Ubicación(es) y consideraciones legales o reglamentarias relacionadas
  • Nivel de dependencia de cuartas partes (para evitar el riesgo de concentración)
  • Experiencia en procesos operativos o de cara al cliente
  • Interacción con datos protegidos
  • Situación económica y salud
  • Reputación

Utilizando esta evaluación de riesgos inherente, su equipo puede establecer automáticamente niveles de proveedores, fijar niveles adecuados de diligencia adicional y determinar el alcance de las evaluaciones en curso.

La lógica de clasificación por niveles basada en reglas permite categorizar a los proveedores utilizando una serie de consideraciones de interacción de datos, financieras, normativas y de reputación.

Prevalent permite a las instituciones financieras crear un perfil de proveedor completo que incluye la propiedad, el rendimiento financiero, las puntuaciones del IPC, las declaraciones de esclavitud moderna, información sobre el sector y el negocio, y asigna las relaciones con terceros potencialmente arriesgadas. Esto ayuda a reducir la complejidad en la gestión de terceros, proporcionando una única fuente de la verdad para la gestión de proveedores a lo largo del ciclo de vida de sus relaciones.

II) Gobernanza y supervisión de la gestión

Implantación de marcos de gestión de riesgos y gobernanza para las NOA

"Los bancos cuentan con un comité de gobernanza para ejercer la supervisión de las NOA. Los bancos también establecen marcos de gobernanza y gestión del riesgo adecuados, incluidos requisitos de diligencia debida, para gestionar de forma holística los riesgos derivados de las NOA."

Prevalent cuenta con una biblioteca de más de 750 plantillas prediseñadas para evaluaciones de riesgos de terceros, incluidas las que se ajustan a los principales marcos de gobernanza, como [ISO](/compliance/iso-27001-27002-27018-27036-2-27701/. Los cuestionarios de evaluación pueden tener un enfoque global o regional para abordar requisitos legales, operativos o de diligencia debida únicos.

La elaboración de informes permite a las instituciones financieras visualizar y abordar los requisitos de cumplimiento mediante la asignación automática de los resultados de las evaluaciones y las fuentes de datos a los requisitos y marcos normativos.

Informes de gestión sobre riesgos de terceros

"Los bancos garantizan una supervisión adecuada de la gestión mediante informes periódicos y puntuales sobre los perfiles de riesgo y el rendimiento de las NOA. Las cuestiones significativas, como las revisiones periódicas caducadas, los incidentes con proveedores, los incumplimientos del rendimiento y los incumplimientos de los KRI, se comunican regularmente al foro de gobierno pertinente. Una parte apropiada (por ejemplo, una unidad 2LoD) proporciona los controles y equilibrios necesarios en el proceso de información".

Además, Prevalent ayuda a medir de forma centralizada los indicadores clave de rendimiento (KPI) y los indicadores clave de rendimiento (KRI) de terceros para reducir los riesgos derivados de las lagunas en la supervisión de los proveedores mediante la automatización de las evaluaciones de los contratos y el rendimiento, y proporcionando un marco para medir en función de los requisitos.

Con esta capacidad, las IF pueden identificar rápidamente valores atípicos que podrían justificar una investigación más profunda y mejorar la eficacia de la reducción de riesgos poniendo los datos correctos en las manos adecuadas.

Colabore con sus proveedores

Desarrollar planes de corrección con recomendaciones que los proveedores puedan seguir para reducir el riesgo residual. Proporcionar un foro para que los proveedores carguen pruebas y se comuniquen sobre medidas correctivas específicas, con una pista de auditoría segura para el seguimiento de las medidas correctivas hasta su conclusión.

Gestión del cambio

"Los bancos cuentan con políticas y procedimientos sólidos de gestión del cambio para gestionar los riesgos derivados de las nuevas NOA. Existe una clara asignación de funciones y responsabilidades en las tres líneas de defensa, y la aplicación de los cambios está sujeta a controles y supervisión independientes."

La plataforma Prevalent incluye un motor de automatización y reglas que sugiere automáticamente acciones o ajusta las puntuaciones de riesgo basándose en los resultados de la evaluación y en fuentes de datos externas. Con esta capacidad, las IF pueden crear automáticamente tareas basadas en los cambios continuos de terceros y asignarlas a los responsables para realizar un seguimiento de los problemas hasta su conclusión. Esto ayuda a acelerar los plazos de reducción de riesgos.

III) Diligencia debida y supervisión permanente

Diligencia debida y supervisión permanente de las NOA y del riesgo de terceros

"Los bancos aplican metodologías de evaluación de riesgos para calificar los NOA que consideran adecuadamente los factores de mayor riesgo, como compartir información confidencial o prestar apoyo a funciones críticas".

"Los bancos establecen requisitos claros en materia de diligencia debida y supervisión independiente para la incorporación de nuevas NOA y la revisión de las existentes, que sean proporcionales a los riesgos implicados. La diligencia debida tiene en cuenta a todas las partes interesadas de las NOA, incluidos socios y proveedores de servicios.

"Los bancos aplican procesos de control estructurados para la supervisión continua de las NOA, a lo largo del ciclo de vida de las relaciones. Los acuerdos de alto riesgo requieren una supervisión continua más estricta.

"Los bancos despliegan herramientas y mecanismos adecuados de vigilancia del riesgo para gestionar el riesgo de terceros. Estas herramientas y mecanismos incluyen el establecimiento de una taxonomía del riesgo de terceros y la aplicación de KRI adecuados para facilitar una visión holística del riesgo de terceros del banco."

Una vez completada la incorporación, los resultados de las evaluaciones de niveles, perfiles y categorización dictan el nivel de diligencia debida continua necesaria a lo largo del ciclo de vida del tercero.

Para ello, Prevalent rastrea y analiza continuamente las amenazas externas a terceros. La solución vigila Internet y la dark web en busca de ciberamenazas y vulnerabilidades, así como fuentes públicas y privadas de información sobre reputación, sanciones y finanzas.

Todos los datos de supervisión se correlacionan con los resultados de la evaluación y se centralizan en un registro de riesgos unificado para cada proveedor, lo que agiliza las iniciativas de revisión de riesgos, elaboración de informes y respuesta. Los riesgos pueden clasificarse en una vista de mapa de calor con ejes de probabilidad e impacto.

Las fuentes de seguimiento incluyen:

  • Más de 1.500 foros de delincuentes; miles de páginas cebolla; más de 80 foros de acceso especial a la web oscura; más de 65 fuentes de amenazas; y más de 50 sitios de pegado de credenciales filtradas, así como varias comunidades de seguridad, repositorios de código y bases de datos de vulnerabilidades que abarcan 550.000 empresas.
  • Una base de datos con más de 10 años de historial de violaciones de datos de miles de empresas de todo el mundo.
  • 550.000 fuentes públicas y privadas de información sobre reputación, como fusiones y adquisiciones, noticias empresariales, noticias negativas, información reglamentaria y jurídica, actualizaciones operativas, etc.
  • Una red mundial de 2 millones de empresas con 5 años de cambios organizativos y resultados financieros, incluidos volumen de negocio, pérdidas y ganancias, fondos de accionistas, etc.
  • 30.000 fuentes de noticias de todo el mundo
  • Una base de datos con más de 1,8 millones de perfiles de personas políticamente expuestas
  • Listas mundiales de sanciones y más de 1.000 listas y expedientes judiciales de aplicación de la normativa mundial
  • Rendimiento, desde el cumplimiento de los KPI de los contratos y las correcciones a los SLA y los plazos incumplidos.
Recursos adicionales

Libro Blanco

La Autoridad Monetaria de Singapur (MAS) Lista de comprobación del cumplimiento de terceros

Blog

APRA CPS 234: Mejores prácticas para cumplir los requisitos de gestión de riesgos de terceros

Blog

Cumplimiento de los requisitos PRA SS2/21 para la gestión de riesgos de terceros

Guía

Adapte su programa TPRM a 14 normas del sector

Ver más recursos

Potenciar. Automatizar. Elevar. Mitratech

©2026 Mitratech, Inc. Todos los derechos reservados.

Potenciar. Automatizar. Elevar. Mitratech

©2026 Mitratech, Inc. Todos los derechos reservados.