Cumplimiento de los requisitos PRA SS2/21 para la gestión de riesgos de terceros

Utilice esta guía para abordar los requisitos de externalización establecidos en la Declaración de Supervisión SS2/21 de la Autoridad de Regulación Prudencial (PRA) del Banco de Inglaterra.

Personal de Mitratech
Personal de Mitratech 23 de junio de 2022 8 minutos de lectura
Decorative image

En marzo de 2022, la Autoridad de Regulación Prudencial (PRA) del Banco de Inglaterra activó una nueva Declaración de Supervisión (SS2/21), que establecía las expectativas sobre cómo las empresas reguladas por la PRA debían cumplir los requisitos normativos relativos a la externalización y la gestión de riesgos de terceros para mejorar la resiliencia empresarial.

Aplicable a todos los bancos, empresas de inversión y aseguradoras del Reino Unido, así como a las sucursales británicas de bancos y aseguradoras extranjeros, los objetivos de la Declaración de Supervisión (SS) son los siguientes:

«... facilitar una mayor resiliencia y adopción de la nube y otras nuevas tecnologías... complementar los requisitos y expectativas sobre resiliencia operativa del Reglamento de la PRA; SS1/21... e implementar las «Directrices sobre acuerdos de externalización» (EBA Outsourcing GL) de la Autoridad Bancaria Europea (EBA)».

La Declaración de Supervisión también aclara la diferencia entre la subcontratación significativa y los acuerdos con terceros que no implican subcontratación, establece las expectativas en materia de evaluaciones y diligencia debida de terceros, e identifica las áreas que requieren un examen detallado, entre ellas:

  • Seguridad de los datos
  • Derechos de acceso, auditoría e información
  • Subcontratación
  • Continuidad del negocio y estrategias de salida

Esta publicación examina los requisitos de evaluación y diligencia debida tanto para terceros subcontratados como no subcontratados, tal y como se establece en la Declaración de supervisión. También identifica las capacidades de la plataforma Prevalent Third-Party Risk Management Platform que pueden utilizarse para cumplir los requisitos de la PRA.

Comprensión de la Declaración de Supervisión SS2/21 de la PRA: Requisitos de gestión de riesgos de terceros

La Declaración de Supervisión SS2/21 exige que las empresas reguladas por la PRA realicen una evaluación de materialidad durante la incorporación de proveedores y, posteriormente, de forma periódica. La PRA espera que se le informe de los terceros importantes de cada empresa, por lo que ahora es el momento de asegurarse de que sus terceros sigan las prácticas de resiliencia empresarial y operativa necesarias para cumplir con la normativa y minimizar el riesgo para su organización.

Asignación de capacidades prevalentes a los requisitos de la Declaración de Supervisión SS2/21 de la PRA

La plataforma de gestión de riesgos de terceros Prevalent puede ayudar a las organizaciones de servicios financieros a abordar los requisitos de terceros subcontratados y no subcontratados de la PRA SS2/21.

NOTA: Esta guía incluye solo los requisitos más relevantes y no debe considerarse exhaustiva. Para obtener una lista completa de los requisitos, revise detalladamente la Declaración de supervisión completa y consulte a su auditor.

Sección 2: Definiciones y ámbito de aplicación

Para cumplir los requisitos de los apartados 2.8 y 2.9, la plataforma Prevalent ofrece:

  • Perfilado, clasificación por niveles y puntuación del riesgo inherente y residual basada en criterios exhaustivos para identificar terceros externos relevantes y no relevantes.
  • Más de 100 plantillas estandarizadas y evaluaciones de riesgos personalizadas adaptadas a terceros materiales y no materiales con gestión integrada de flujos de trabajo, tareas y pruebas. Las evaluaciones abordan una multitud de marcos basados en la seguridad de las TIC, incluidos Cyber Essentials, ISO 27001, NIST 800-53, GDPR y muchos otros.
  • Gestión de la remediación con orientación integrada para actuar sobre los riesgos identificados derivados de la subcontratación de terceros.
  • Informes de cumplimiento y riesgos por marco o normativa para simplificar el proceso de auditoría.

Sección 3: Proporcionalidad

Para cumplir los requisitos de los apartados 3.6 y 3.7, la Plataforma Prevalente:

  • Permite a los equipos de seguridad y gestión de riesgos clasificar automáticamente a los proveedores según sus puntuaciones de riesgo inherentes. Los resultados pueden utilizarse para establecer los niveles adecuados de diligencia debida adicional y determinar el alcance de las evaluaciones en curso.
  • Asigna automáticamente la información recopilada a partir de evaluaciones basadas en controles a marcos normativos como ISO 27001, RGPD y muchos otros. Esto le permite visualizar y abordar rápidamente los requisitos de cumplimiento importantes y simplificar los procesos de auditoría.
  • Ofrece el Marco de Cumplimiento Prevalente (PCF), una evaluación única y completa que permite a los equipos de seguridad y gestión de riesgos mapear las respuestas a varios requisitos normativos.

Sección 5: Fase previa a la externalización

Para cumplir los requisitos de los apartados 5.8, 5.10-5.13 y 5.18-5.24, la Plataforma Prevalent ofrece:

  • Gestión de RFx, que permite a las organizaciones automatizar y añadir inteligencia de riesgos a las decisiones de selección de proveedores.
  • Gestión del ciclo de vida de los contratos, automatización para mejorar la experiencia de contratación de proveedores y supervisión continua de los acuerdos de nivel de servicio (SLA).
  • Perfilado y clasificación exhaustivos de terceros para determinar su importancia. Los criterios incluyen la criticidad, las consideraciones normativas, la dependencia de cuartos, la exposición operativa, la situación financiera y la reputación.
  • La mayor biblioteca de evaluaciones de riesgos estandarizadas y personalizadas con flujo de trabajo, tareas y gestión de pruebas integrados. Incluye una evaluación de resiliencia empresarial integrada basada en la norma ISO 22301.

  • de riesgos cibernéticos, de violaciones, comerciales, reputacionales y financieros para evaluar continuamente los riesgos de los proveedores entre evaluaciones anuales y correlacionar los hallazgos con los resultados de las evaluaciones para determinar si es necesaria una investigación más profunda.
  • Asignación automática de los resultados de evaluación y supervisión a NIST, ISO y otros marcos de control para demostrar el cumplimiento.
  • Orientación sobre cómo crear un programa de resiliencia empresarial de terceros más sólido.
  • Respuesta ante incidentes para identificar y mitigar el impacto de las infracciones de terceros proveedores mediante evaluaciones de eventos, puntuaciones y orientación sobre medidas correctivas.

Sección 6: Acuerdos de externalización

Para cumplir con los requisitos del apartado 6.3, Prevalent centraliza la distribución, el debate, la conservación y la revisión de los contratos con los proveedores. Gracias a estas capacidades, las organizaciones pueden realizar un seguimiento centralizado de todos los contratos y atributos contractuales que pueden afectar a los niveles de servicio, lo que permite aplicar de forma eficaz las garantías contractuales.

Sección 7: Seguridad de los datos

Para cumplir con los requisitos de la sección 7, Prevalent ofrece una plataforma única y colaborativa para realizar evaluaciones de privacidad y mitigar los riesgos de privacidad tanto internos como de terceros. Las principales funciones de evaluación de la seguridad y la privacidad de los datos incluyen:

  • Evaluaciones programadas y mapeo de relaciones para revelar dónde existen los datos personales, dónde se comparten y quién tiene acceso a ellos, todo ello resumido en un registro de riesgos que destaca las exposiciones críticas.
  • Evaluaciones del impacto en la privacidad para descubrir datos empresariales en riesgo e información de identificación personal (PII), lo que le permite analizar el origen, la naturaleza y la gravedad del riesgo y obtener orientación sobre cómo solucionarlo.
  • Evaluaciones de proveedores con respecto al RGPD
    y otras normativas de privacidad a través del Marco de Cumplimiento Prevalente (PCF), lo que le permite revelar posibles puntos críticos mediante la asignación de los riesgos identificados a controles específicos.
  • Mapeo de riesgos y respuestas del RGPD a los controles: le proporcionamos índices de cumplimiento porcentuales e informes específicos para cada parte interesada.
  • Una base de datos que contiene más de 10 años de historial de violaciones de datos de miles de empresas de todo el mundo. Incluye tipos y cantidades de datos robados; cuestiones de cumplimiento y normativas; y notificaciones en tiempo real de violaciones de datos de proveedores.
  • Centralización de la incorporación, distribución, discusión, retención y revisión de los contratos con los proveedores. Esto garantiza que las disposiciones de protección de datos se apliquen desde el inicio de la relación.

Sección 8: Derechos de acceso, auditoría e información

Para cumplir los requisitos de los apartados 8.7 y 8.9:

  • El Servicio de Validación de Controles Prevalentes revisa las respuestas y la documentación de las evaluaciones de terceros en comparación con los protocolos de prueba establecidos para validar que se hayan implementado los controles indicados.
  • Los expertos de Prevalent revisan primero las respuestas a las evaluaciones, ya sean de cuestionarios personalizados o estandarizados. A continuación, asignamos las respuestas a SIG, SCA, ISO, SOC II, AITECH y/u otros marcos de control. Por último, trabajamos con usted para desarrollar planes de corrección y realizar un seguimiento hasta su finalización. Con opciones remotas y presenciales disponibles, Prevalent le ofrece su experiencia para ayudarle a reducir el riesgo con sus recursos actuales.
  • Prevalent centraliza las certificaciones, los acuerdos, los contratos y las pruebas justificativas con una gestión integrada de tareas y aceptaciones, además de funciones de carga obligatorias.

Sección 9: Subcontratación

Para cumplir con los requisitos de la sección 9, Prevalent identifica las relaciones con terceros y cuartos a través de una evaluación de identificación nativa o mediante el escaneo pasivo de la infraestructura pública del tercero. El mapa de relaciones resultante muestra las rutas de información y las dependencias que podrían abrir vías de acceso a un entorno. A continuación, se supervisa a los proveedores descubiertos a través de este proceso para identificar riesgos financieros, ESG, cibernéticos, empresariales y de violación de datos, así como para la detección de sanciones/PEP.

Sección 10: Continuidad del negocio y planes de salida

Para cumplir los requisitos de los apartados 10.1, 10.3 y 10.9, Prevalent:

  • Ofrece recursos gratuitos para que las organizaciones los utilicen a medida que desarrollan o perfeccionan sus programas de continuidad del negocio de terceros.
  • Incluye una evaluación exhaustiva de la resiliencia empresarial basada en las prácticas estándar de la norma ISO 22301 que permite a las organizaciones:
    • Clasificar a los proveedores según su perfil de riesgo y su importancia para el negocio.
    • Esbozar los objetivos de punto de recuperación (RPO) y los objetivos de tiempo de recuperación (RTO).
    • Centralizar el inventario del sistema, las evaluaciones de riesgos, los diagramas RACI y los terceros.
    • Garantizar una comunicación fluida con los proveedores durante las interrupciones del negocio.

Cómo Prevalent ayuda a cumplir los requisitos de externalización y gestión de riesgos de terceros de la PRA SS2/21

Prevalent puede ayudar a las organizaciones a automatizar las evaluaciones de materialidad y supervisar continuamente a sus terceros subcontratados y no subcontratados en busca de riesgos para la resiliencia empresarial. Las capacidades de evaluación y supervisión de Prevalent permiten a las organizaciones determinar y validar si un defecto o fallo en el rendimiento de un proveedor perjudica de manera significativa:

  • La capacidad de la organización para cumplir las condiciones mínimas
  • Cumplimiento de las Normas Fundamentales o los Principios Empresariales de la Autoridad de Conducta Financiera (FCA).
  • La estabilidad financiera del Reino Unido
  • Los requisitos de la organización según la sección «Recopilación de información» del Reglamento PRA.
  • La resiliencia financiera u operativa de la organización.

Para las organizaciones que han externalizado un control interno o una función clave, Prevalent puede ayudar a determinar si un defecto o fallo en el rendimiento afectaría negativamente a la función en cuestión. También puede ayudar a determinar el impacto potencial de una interrupción, fallo o rendimiento inadecuado en:

  • riesgo operativo, riesgo de conducta, riesgo de tecnología de la información y la comunicación (TIC), riesgo legal y riesgo reputacional.
  • la capacidad de la organización para cumplir con los requisitos legales y reglamentarios y presentar informes al respecto.
  • el acceso de la organización a datos esenciales o el riesgo de violación de datos confidenciales o altamente confidenciales

Próximos pasos para cumplir con la norma PRA SS2/21

Para obtener más información sobre cómo Prevalent puede ayudarle a cumplir los requisitos establecidos en la Declaración de supervisión SS2/21 de la PRA, descargue la lista de verificación de cumplimiento completa o solicite una demostración hoy mismo.

Nota de la Redacción: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido se ha actualizado desde entonces para incluir información alineada con nuestras ofertas de productos, cambios normativos y cumplimiento.
Potenciar. Automatizar. Elevar. Mitratech

©2026 Mitratech, Inc. Todos los derechos reservados.

Potenciar. Automatizar. Elevar. Mitratech

©2026 Mitratech, Inc. Todos los derechos reservados.