En abril de 2023, la Oficina del Superintendente de Instituciones Financieras (OSFI) del Gobierno de Canadá finalizó la Directriz B-10 sobre gestión de riesgos de terceros, que aborda los riesgos operativos y financieros asociados a las relaciones con proveedores y distribuidores.
La Directriz B-10 establece las expectativas para que las instituciones financieras reguladas a nivel federal (FRFI) gestionen los riesgos asociados con los acuerdos con terceros. La Directriz establece lo siguiente:
«La OSFI espera que la FRFI gestione los riesgos relacionados con todos los acuerdos con terceros y hace hincapié en que la FRFI sigue siendo responsable de las actividades comerciales, funciones y servicios subcontratados a terceros.
«A tal fin, las FRFI están obligadas a proporcionar a la OSFI, previa solicitud, información relacionada con sus acuerdos comerciales y estratégicos con terceros, la gestión de riesgos y los entornos de control, con el fin de apoyar la labor de supervisión y revisión. La OSFI espera ser notificada sin demora de cualquier cuestión sustantiva que afecte a la capacidad de la FRFI para llevar a cabo operaciones críticas debido a un acuerdo con un tercero».
La directriz también amplía la definición de tercero para incluir más entidades, como profesionales independientes, corredores y empresas de servicios públicos, y recomienda incluir a todo tipo de terceros en las evaluaciones de riesgos.
El motor de estos nuevos requisitos es el cambio de la materialidad a la criticidad, en el que un tercero desempeña una función que es parte integral de la prestación de una operación, función o servicio significativo por parte de la FRFI, lo que requiere un enfoque doble en el que el riesgo y la criticidad determinan la naturaleza y el alcance de las actividades de diligencia debida.
A tal fin, la directriz también reconoce que las organizaciones deben identificar el tipo y el nivel de riesgo que se deriva de cada acuerdo con terceros (incluidos los acuerdos de subcontratación), de modo que la FRFI pueda gestionar cada acuerdo con terceros con el nivel de intensidad adecuado. Para ello, será necesario comprender el riesgo y la importancia crítica de cada acuerdo con terceros, así como el tamaño, la naturaleza, el alcance, la complejidad de las operaciones y el perfil de riesgo de la FRFI.
La OSFI reconoce además que, aunque en algunos casos la posibilidad de gestionar el riesgo de terceros mediante las condiciones de un contrato puede ser limitada, espera que las FRFI gestionen el riesgo, según proceda, mediante la supervisión, medidas de continuidad del negocio, planes de contingencia y otros mecanismos de resiliencia.
Esta publicación examina los requisitos de gestión de riesgos de terceros establecidos en la Directriz B10 de la OSFI e identifica las capacidades de la plataforma Prevalent Third-Party Risk Management Platform que pueden satisfacer dichos requisitos.
Seis resultados esperados
La directriz B-10 presenta seis resultados esperados que las FRFI deben alcanzar mediante una gestión eficaz de los riesgos de terceros. Estos resultados tienen por objeto contribuir a la resiliencia operativa y financiera de las FRFI y ayudar a salvaguardar su reputación.
Seis resultados esperados que las FRFI deben alcanzar mediante la gestión del riesgo de terceros. Gráfico adaptado de la Directriz B-10 de la OSFI.
Asignación de capacidades prevalentes a los principios de la Directriz B-10 de la OSFI
Los seis resultados esperados se basan en 11 principios que la OSFI describe como mejores prácticas para la gestión de riesgos de terceros. El siguiente resumen relaciona las capacidades de la plataforma de gestión de riesgos de terceros más habitual con estos 11 principios.
NOTA: Esto no debe considerarse una guía exhaustiva y definitiva. Consulte a su auditor para obtener una lista completa de los requisitos.
Resultado 1: Las estructuras de gobernanza y rendición de cuentas son claras y cuentan con estrategias y marcos integrales de gestión de riesgos.
Principios 1 y 2: Prevalent colabora con usted para crear un programa integral de gestión de riesgos de terceros (TPRM) basado en las mejores prácticas probadas y una amplia experiencia en el mundo real. Nuestros expertos colaboran con su equipo en la definición e implementación de procesos y soluciones de TPRM; la selección de cuestionarios y marcos de evaluación de riesgos; y la optimización de su programa para abordar todo el ciclo de vida de los riesgos de terceros, desde la contratación y la diligencia debida hasta la rescisión y la salida de la empresa.
Resultado 2: Se identifican y evalúan los riesgos que plantean terceros.
Principio 3: Prevalent comienza centralizando y automatizando la distribución, comparación y gestión de las solicitudes de propuestas (RFP) y las solicitudes de información (RFI). Nuestras soluciones también proporcionan información sobre los riesgos empresariales, reputacionales, financieros y de violación de datos para informar y añadir contexto a las decisiones de selección de proveedores. A continuación, Prevalent pasa a cada proveedor seleccionado a las fases de contratación y/o incorporación, haciendo progresar automáticamente al proveedor a través del ciclo de vida de terceros.
Principio 4: A continuación , Prevalent ofrece una evaluación de diligencia debida previa al contrato con una puntuación clara basada en ocho criterios para capturar, rastrear y cuantificar los riesgos inherentes a todos los terceros. A partir de esta evaluación de riesgos inherentes, su equipo puede clasificar automáticamente a los proveedores, establecer los niveles adecuados de diligencia adicional y determinar el alcance de las evaluaciones continuas. La lógica de clasificación basada en reglas permite categorizar a los proveedores utilizando una serie de consideraciones relacionadas con la interacción de datos, las finanzas, la normativa y la reputación.
Prevalent cuenta con una biblioteca de más de 750 plantillas prediseñadas para evaluaciones continuas de riesgos de terceros. Estas se integran con capacidades nativas de supervisión de riesgos cibernéticos, empresariales, reputacionales y financieros, que validan continuamente los resultados de las evaluaciones y cubren las lagunas entre ellas. Las recomendaciones de corrección integradas garantizan que los terceros aborden los riesgos de manera oportuna y satisfactoria.
Principio 5: Como parte del proceso inherente de evaluación de riesgos e incorporación, Prevalent puede identificar las relaciones de subcontratación de cuarta y enésima parte mediante la realización de una evaluación basada en cuestionarios o mediante el escaneo pasivo de la infraestructura pública del tercero. El mapa de relaciones resultante muestra las rutas de información y las dependencias que podrían exponer su entorno a riesgos. Los proveedores descubiertos a través de este proceso son supervisados continuamente para identificar riesgos financieros, ESG, cibernéticos, comerciales y de violación de datos, así como para la detección de sanciones/PEP. Este enfoque proporciona información para abordar el riesgo potencial de concentración tecnológica o geográfica.
Resultado 3: Los riesgos planteados por terceros se gestionan y mitigan dentro del Marco de Apetito de Riesgo de la FRFI.
Principio 6:
Prevalent centraliza la distribución, discusión, retención y revisión de los contratos con proveedores que establecen los derechos y responsabilidades de cada parte. También ofrece capacidades de flujo de trabajo para automatizar el ciclo de vida del contrato, desde la incorporación hasta la salida.
Principio 7: Además , Prevalent ofrece una plataforma centralizada y colaborativa para realizar evaluaciones de privacidad y mitigar los riesgos de privacidad tanto externos como internos, con el fin de garantizar que se tomen las medidas adecuadas para proteger la confidencialidad, integridad y disponibilidad de los registros y datos.
Principio 8: Prevalent automatiza la auditoría de cumplimiento de la gestión de riesgos de terceros mediante la recopilación de información sobre los riesgos de los proveedores, la cuantificación de los riesgos, la recomendación de medidas correctivas y la generación de informes para docenas de normativas gubernamentales y marcos industriales. Prevalent asigna automáticamente la información recopilada a partir de evaluaciones basadas en controles a ISO 27001, NIST, GDPR, CoBiT 5, SSAE 18, SIG, SIG Lite, SOX, NYDFS y otros marcos normativos, lo que le permite visualizar y abordar rápidamente los requisitos de cumplimiento importantes.
Principio 9: Prevalent automatiza la evaluación, la supervisión continua, el análisis y la corrección de la resiliencia y la continuidad del negocio de terceros
,
al tiempo que asigna automáticamente los resultados a los marcos de control del NIST, la ISO y otros organismos para garantizar que los terceros puedan seguir operando en caso de interrupción y hayan activado un plan de continuidad del negocio y recuperación ante desastres.
Resultado 4: Se supervisa y evalúa el rendimiento de terceros, y se abordan de forma proactiva los riesgos y las incidencias.
Principio 10: Prevalent realiza un seguimiento y análisis continuos de las amenazas externas a terceros. La solución supervisa Internet y la web oscura en busca de amenazas cibernéticas y vulnerabilidades, así como fuentes públicas y privadas de información sobre reputación, sanciones e información financiera. Todos los datos de supervisión se correlacionan con los resultados de la evaluación y se centralizan en un registro de riesgos unificado para cada proveedor, lo que agiliza la revisión de riesgos, la presentación de informes y las iniciativas de respuesta.
Principio 11: Prevalent permite a su equipo identificar y mitigar rápidamente el impacto de los incidentes de terceros proveedores que podrían afectar a la resiliencia operativa y financiera mediante la gestión centralizada de los proveedores, la realización de evaluaciones de eventos, la puntuación de los riesgos identificados y el acceso a directrices de corrección.
Resultado 5: El programa de gestión de riesgos de terceros de la FRFI permite a la FRFI identificar y gestionar de forma continua una serie de relaciones con terceros.
Como se explica en el Principio 1, Prevalent colabora con usted para crear un programa integral de gestión de riesgos de terceros (TPRM) basado en las mejores prácticas probadas y en una amplia experiencia en el mundo real.
Nuestros expertos colaboran con su equipo en la definición e implementación de procesos y soluciones de TPRM; la selección de cuestionarios y marcos de evaluación de riesgos; y la optimización de su programa para abordar todo el ciclo de vida del riesgo de terceros, desde la contratación y la diligencia debida hasta la rescisión y la salida de la empresa.
Resultado 6: Las operaciones tecnológicas y cibernéticas llevadas a cabo por terceros son transparentes, fiables y seguras.
La plataforma Prevalent incluye una amplia biblioteca de evaluaciones estandarizadas (incluidas las correspondientes a los marcos de buenas prácticas del NIST y la ISO ) y funciones de personalización para evaluar a terceros con flexibilidad. Para los terceros que presentan un informe SOC 2 en lugar de una evaluación de riesgos de terceros completada, Prevalent le permite mapear las deficiencias de control identificadas en el informe SOC 2, crear elementos de riesgo contra el tercero dentro de una plataforma de evaluación centralizada, y realizar un seguimiento e informar sobre las deficiencias junto con otros riesgos.
Independientemente del marco de ciberseguridad, Prevalent le permite reducir los plazos de evaluación y mitigar los riesgos.
Próximos pasos para el cumplimiento de la Directriz B10 de la OSFI sobre gestión de riesgos de terceros
Prevalent puede ayudar a las organizaciones a automatizar la evaluación y la supervisión continua de la resiliencia empresarial y financiera de terceros para respaldar el cumplimiento y la conformidad con la Directriz B-10 de la OSFI.
Para obtener orientación específica sobre cómo Prevalent puede ayudar a cumplir los requisitos establecidos en la Directriz B-10 de la OSFI, descargue la lista de verificación completa de cumplimiento de la OSFI o solicite una demostración hoy mismo.
Nota de la Redacción: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido se ha actualizado desde entonces para incluir información alineada con nuestras ofertas de productos, cambios normativos y cumplimiento.
