Cómo cumplir los requisitos de la Autoridad Bancaria Europea en materia de riesgos de terceros

Las Directrices de la ABE establecen las disposiciones de gobernanza interna que las entidades de crédito, de pago y de dinero electrónico deben aplicar cuando externalizan servicios, actividades o funciones internas. Las directrices entraron en vigor el 30 de septiembre de 2019.

Personal de Mitratech
Personal de Mitratech 3 de octubre de 2019 5 minutos de lectura
Decorative image

Nota del editor: En la edición de esta semana de nuestra serie de blogs, Gestión de riesgos de terceros: cómo mantenerse fuera del radar regulatorio, analizamos los requisitos de la Autoridad Bancaria Europea (EBA) relacionados con terceros. Asegúrese de revisar todos los blogs de esta serie y descargue el libro blanco para obtener un análisis completo de los requisitos.

La Autoridad Bancaria Europea (EBA) es una autoridad independiente de la UE que trabaja para garantizar una regulación y supervisión eficaces y coherentes en todo el sector bancario europeo. Sus objetivos generales son mantener la estabilidad financiera en la UE y salvaguardar la integridad, la eficiencia y el funcionamiento ordenado del sector bancario.

A principios de 2019, la ABE publicó unas Directrices revisadas sobre acuerdos de externalización, que incluyen disposiciones específicas para los marcos de gobernanza de las entidades financieras dentro del ámbito de competencia de la ABE en lo que respecta a sus acuerdos de externalización y las expectativas y procesos de supervisión relacionados. La recomendación sobre la externalización a proveedores de servicios en la nube, publicada en diciembre de 2017, se integra en las directrices. Estas directrices son coherentes con los requisitos sobre externalización establecidos en la Directiva sobre servicios de pago (PSD2), la Directiva sobre mercados de instrumentos financieros (MiFID II) y el Reglamento Delegado (UE) 2017/565 de la Comisión.

La EBA, reconociendo el vasto ecosistema de los servicios financieros y los diversos tipos de servicios integrados que se utilizan, dedicó 70 páginas a la gestión de la externalización en el sector de los servicios financieros, además de otras 55 páginas a las respuestas a los comentarios sobre estas directrices.

Entre los aspectos más destacados de estos requisitos se incluye un marco sólido de externalización que:

  • Distingue las externalizaciones que son «críticas o importantes» de las que no lo son.
  • Realiza la debida diligencia en el proceso de selección de subcontratación.
  • Permite una evaluación adecuada de los riesgos, mediante la cual se identifican, gestionan, supervisan y notifican todos los riesgos operativos potenciales.
  • Requiere contratos que establezcan los derechos de acceso y auditoría de los bancos y sus reguladores para garantizar una supervisión eficaz.
  • Realiza evaluaciones y supervisiones continuas, con informes claros para la alta dirección.
  • Pone a disposición de las autoridades toda la documentación para garantizar la transparencia.
  • Define una estrategia de salida clara en caso de incumplimiento por parte del proveedor de servicios.

Cumplimiento de los requisitos de la EBA en materia de riesgos de terceros con la plataforma TPRM de Prevalent

Prevalent puede ayudar a cumplir estos requisitos. Sin embargo, a efectos de este blog, hemos resumido algunos requisitos de la EBA y hemos identificado las capacidades de la plataforma de gestión de riesgos de terceros de Prevalent que demuestran la amplitud y el valor que puede obtener de nuestra completa plataforma TPRM. Para obtener una lista completa de los requisitos de la EBA y saber cómo se ajustan directamente las capacidades de Prevalent a ellos, descargue el libro blanco «The Third-Party Risk Management Compliance Handbook» (Manual de cumplimiento de la gestión de riesgos de terceros).

Para cumplir con los requisitos de la EBA, Prevalent:

  • Permite a las instituciones financieras clasificar a terceros en función de su importancia para la organización, de conformidad con el Título II, Evaluación de los acuerdos de externalización, sección 4, Funciones críticas o importantes, párrafo 30.
  • Unifica y gestiona el proceso de evaluación de riesgos de los proveedores para cumplir los requisitos del Título III, Marco de gobernanza, sección 5, Disposiciones de gobernanza sólida y riesgo de terceros, párrafo 32, y del Título III, Marco de gobernanza, sección 5, Disposiciones de gobernanza sólida y riesgo de terceros, párrafo 33.
  • Proporciona una solución completa para realizar evaluaciones, incluyendo cuestionarios; un entorno para incluir y gestionar pruebas documentadas en respuesta; flujos de trabajo para gestionar la revisión y abordar los resultados; e informes sólidos para proporcionar a cada nivel de gestión la información que necesita para revisar adecuadamente el rendimiento de terceros con el fin de abordar el Título III - Marco de gobernanza, sección 6 — Disposiciones de gobernanza sólidas y externalización, párrafo 40(c) y Título III — Marco de gobernanza, sección 13.2 Seguridad de los datos y los sistemas, párrafo 82.
  • Incluye la presentación de informes eficaces para satisfacer los requisitos de auditoría y cumplimiento, así como para presentar las conclusiones al consejo de administración y a la alta dirección, de conformidad con el Título III - Marco de gobernanza, sección 10 - Función de auditoría interna, párrafo 50, y el Título III - Marco de gobernanza, sección 13.3 - Derechos de acceso, información y auditoría, párrafo 87 (b).
  • Proporciona repositorios de cuestionarios de proveedores completados y validados, así como pruebas justificativas para satisfacer los requisitos de auditorías conjuntas del Título III - Marco de gobernanza, sección 13.3 Derechos de acceso, información y auditoría, párrafo 91.
  • Proporciona ciberseguridad y supervisión empresarial, evaluando continuamente las redes de terceros para identificar posibles debilidades que puedan ser explotadas por los ciberdelincuentes, con el fin de cumplir con el Título III, Marco de gobernanza, sección 12.3, Diligencia debida, párrafos 70 y 71, y el Título III, Marco de gobernanza, sección 14, Supervisión de funciones externalizadas, párrafo 100.
  • Captura y audita conversaciones y compara la documentación o las pruebas con los riesgos para cumplir con el Título III - Marco de gobernanza, sección 14 - Supervisión de funciones externalizadas, párrafo 104.
  • Incluye un flujo de trabajo bidireccional y mecanismos de comunicación compartidos para realizar un seguimiento de los hallazgos y solucionar los problemas según el Título III - Marco de gobernanza, 14 - Supervisión de funciones externalizadas, párrafo 105.

Próximos pasos

Las directrices de la EBA exigen una gestión y un seguimiento rigurosos de los riesgos de los proveedores de servicios. Especifican que debe existir una política de gestión de riesgos, que incluya evaluaciones basadas en controles internos y una supervisión continua de los acuerdos de externalización con terceros. La política debe codificarse en un contrato entre la institución financiera y la entidad externalizada, con la documentación y los informes adecuados tanto para las medidas correctivas como para las capacidades de auditoría.

La solución de gestión de riesgos de terceros de Prevalent proporciona un marco completo para implementar la gestión, la auditoría y la presentación de informes con el fin de cumplir con las directrices de externalización de la EBA. Póngase en contacto con nosotros hoy mismo para solicitar una demostración y ver cómo funciona.

Nota de la Redacción: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido se ha actualizado desde entonces para incluir información alineada con nuestras ofertas de productos, cambios normativos y cumplimiento.
Potenciar. Automatizar. Elevar. Mitratech

©2026 Mitratech, Inc. Todos los derechos reservados.

Potenciar. Automatizar. Elevar. Mitratech

©2026 Mitratech, Inc. Todos los derechos reservados.