La EBA y la gestión de riesgos de terceros
La Autoridad Bancaria Europea (EBA) es una autoridad independiente de la UE que garantiza una regulación y supervisión eficaces y coherentes en todo el sector bancario europeo. A principios de 2019, la EBA publicóunas directrices revisadassobre acuerdos de externalización, que incluyen disposiciones específicas para la gobernanza de los acuerdos de externalización por parte de las instituciones financieras y los procesos de supervisión relacionados. Estas directrices son coherentes con los requisitos de externalización establecidos en laDirectiva sobre servicios de pago (PSD2), laDirectiva sobre mercados de instrumentos financieros (MiFID II) y elReglamento Delegado (UE) 2017/565 de la Comisión.
Las Directrices de la ABE establecen las disposiciones de gobernanza interna que las entidades de crédito, las entidades de pago y las entidades de dinero electrónico deben aplicar cuando externalizan servicios, actividades o funciones internos. Reconociendo el vasto ecosistema de proveedores de servicios financieros, la ABE dedicó 70 páginas a la gestión de la externalización en el sector de los servicios financieros.
Las Directrices de la ABE exigen una gestión y un seguimiento rigurosos de los riesgos de los proveedores de servicios. Especifican que debe existir una política de gestión de riesgos, que incluya evaluaciones basadas en controles internos y una supervisión continua de los acuerdos de externalización con terceros. La política debe codificarse en un contrato entre la entidad financiera y la relación de externalización, con la documentación y los informes adecuados tanto para las medidas correctivas como para las capacidades de auditoría.
Estos requisitos representan un conjunto completo de controles implementados en toda la organización subcontratista y van mucho más allá del alcance de un simple escaneo automatizado de la infraestructura externa.
Requisitos pertinentes
- Distinguir las externalizaciones que son «críticas o importantes» de las que no lo son.
-
Realizar la debida diligencia en el proceso de selección de la externalización.
-
Permiteuna evaluación adecuadade los riesgos, mediante la cual se identifican, gestionan, supervisan y notifican todos los riesgos operativos potenciales.
-
Exigir contratos que establezcan derechos de acceso y auditoría para los bancos y sus reguladores a fin de garantizar una supervisión eficaz.
-
Realizar evaluaciones ysupervisiones continuas, con informes claros para la alta dirección.
-
Poner a disposición de las autoridades toda la documentación para garantizar la transparencia.
-
Definir una estrategia de salida clara en caso de fallo del proveedor de servicios.
Cumplimiento de las directrices de la EBA sobre TPRM
Así es como Prevalent puede ayudarle a cumplir las directrices de gestión de riesgos de terceros de la EBA:
| Directrices de la EBA | Cómo ayudamos |
|---|---|
| Título II – Evaluación de los acuerdos de externalización 4 – Funciones críticas o importantes Párrafo 30 «Se debe prestar especial atención a la evaluación de la criticidad o importancia de las funciones si la externalización afecta a funciones relacionadas con las líneas de negocio principales». |
La solución Prevalent Assessment permite a las instituciones financieras clasificar a terceros en función de su importancia para la organización. Una selección de cuestionarios personalizables le permite adaptar los requisitos de evaluación al nivel de riesgo que presenta la relación. |
| Título III – Marco de gobernanza 5 – Disposiciones sólidas de gobernanza y riesgo de terceros Párrafo 32 «Las instituciones y las entidades de pago deben disponer de un marco integral de gestión de riesgos para toda la institución que permita identificar y gestionar todos sus riesgos, incluidos los derivados de acuerdos con terceros». |
Prevalent ofrece la única plataforma unificada y diseñada específicamente para la gestión de riesgos de terceros. Nuestra solución automatiza el proceso interno de evaluación de riesgos de los proveedores e incluye una supervisión proactiva y continua mediante un enfoque externo para reducir los riesgos y cumplir con los requisitos normativos. |
| Título III – Marco de gobernanza 5 – Disposiciones sólidas de gobernanza y riesgo de terceros Párrafo 33 «Las instituciones y las entidades de pago deben identificar, evaluar, supervisar y gestionar todos los riesgos derivados de los acuerdos con terceros a los que estén o puedan estar expuestas». |
El servicio Prevalent Assessment ofrece a los profesionales de la seguridad, la privacidad y la gestión de riesgos una plataforma automatizada para gestionar el proceso de evaluación de riesgos de los proveedores y determinar el cumplimiento de estos con los requisitos de seguridad informática, normativos y de privacidad de datos. Utiliza cuestionarios estándar y personalizados para ayudar a recopilar pruebas y proporciona flujos de trabajo de corrección bidireccionales, informes en tiempo real y un panel de control fácil de usar para mayor eficiencia. Con informes claros y orientación para la corrección, la plataforma garantiza que los riesgos se identifiquen y se remitan a los canales adecuados. |
| Título III – Marco de gobernanza 6 – Disposiciones de gobernanza sólidas y externalización Párrafo 40(c) «Al externalizar, las entidades y las entidades de pago deben garantizar, como mínimo, que:
|
La plataforma Prevalent Third-Party Risk Management ofrece una solución completa para realizar evaluaciones, incluyendo cuestionarios; un entorno para incluir y gestionar pruebas documentadas en respuesta; flujos de trabajo para gestionar la revisión y abordar los resultados; y sólidos informes para proporcionar a cada nivel de gestión la información que necesita para revisar adecuadamente el rendimiento de terceros. |
| Título III – Marco de gobernanza 10 – Función de auditoría interna Párrafo 50 «Las actividades de la función de auditoría interna deben abarcar, siguiendo un enfoque basado en el riesgo, la revisión independiente de las actividades externalizadas. El plan y el programa de auditoría deben incluir, en particular, los acuerdos de externalización de funciones críticas o importantes». |
La plataforma Prevalent Third-Party Risk Management incluye informes eficaces para satisfacer los requisitos de auditoría y cumplimiento, así como para presentar los resultados al consejo de administración y a la alta dirección. El perfil de riesgo completo se puede consultar en la consola centralizada de informes en tiempo real, y los informes se pueden descargar y exportar para determinar el estado de cumplimiento. Las amplias funciones de generación de informes incluyen filtros y gráficos interactivos en los que se puede hacer clic. La solución incluye un repositorio completo de toda la documentación recopilada y revisada durante el proceso de diligencia debida. |
| Título III – Marco de gobernanza 12.3 – Diligencia debida Párrafos 70 y 71 «En lo que respecta a las funciones críticas e importantes, las instituciones y las entidades de pago deben asegurarse de que el proveedor de servicios tenga la reputación comercial necesaria para cumplir con sus obligaciones. Otros factores que deben tenerse en cuenta son su modelo de negocio, naturaleza, escala, complejidad, situación financiera, propiedad y estructura del grupo». |
El servicio Prevalent Cyber & Business Monitoring proporciona supervisión instantánea y continua de los proveedores para notificar de forma inmediata los problemas de alto riesgo, establecer prioridades y ofrecer recomendaciones para su resolución. La supervisión de la seguridad de los datos y los riesgos empresariales le permite ir más allá del estado táctico de los proveedores y obtener una visión más estratégica del riesgo global de seguridad de la información de un proveedor. Prevalent es única en el sentido de que ofrece un servicio de supervisión de riesgos empresariales que aprovecha los conocimientos de analistas humanos para interpretar los posibles riesgos operativos, de marca, normativos, legales y financieros. Algunos ejemplos son:
|
| Título III – Marco de gobernanza 13.2 Seguridad de los datos y los sistemas Párrafo 82 «Cuando sea pertinente (por ejemplo, en el contexto de la externalización de servicios en la nube u otros servicios TIC), las entidades y las entidades de pago deberán definir los requisitos de seguridad de los datos y los sistemas en el acuerdo de externalización y supervisar el cumplimiento de dichos requisitos de forma continua». |
La plataforma Prevalent Third-Party Risk Management ofrece una solución completa para realizar evaluaciones, incluyendo cuestionarios; un entorno para incluir y gestionar pruebas documentadas en respuesta; flujos de trabajo para gestionar la revisión y abordar los resultados; y sólidos informes para proporcionar a cada nivel de gestión la información que necesita para revisar adecuadamente el rendimiento de terceros. |
| Título III – Marco de gobernanza 13.3 Derechos de acceso, información y auditoría Párrafo 87 (b) «Las entidades y las entidades de pago deben asegurarse de que el proveedor de servicios les conceda:
|
La solución Prevalent Assessment garantiza que los proveedores de servicios implementen los requisitos exactos y acordados con un seguimiento y una verificación periódicos. Las sólidas funciones de generación de informes y auditoría completa agilizan la revisión adecuada del rendimiento. El acceso a las evaluaciones y auditorías completadas se puede delegar a los auditores a través de las funciones RBAC estándar de la plataforma. |
| Título III – Marco de gobernanza 13.3 Derechos de acceso, información y auditoría Párrafo 91 «Las entidades y las entidades de pago podrán utilizar:
|
Las redes de intercambio de pruebas de proveedores de Prevalent son repositorios de cuestionarios de proveedores completados y validados, así como de pruebas justificativas, que eliminan el tedioso proceso de recopilación de datos desde cero, que consume mucho tiempo y recursos. Prevalent ofrece redes tanto horizontales como verticales para acelerar la evaluación y la colaboración dentro de la comunidad. |
| Título III – Marco de gobernanza 14 Supervisión de las funciones externalizadas Párrafo 100 «Las entidades y las entidades de pago deben supervisar de forma continua el rendimiento de los proveedores de servicios. Cuando el riesgo, la naturaleza o la magnitud de una función externalizada haya cambiado de forma significativa, las entidades y las entidades de pago deben reevaluar la criticidad o la importancia de dicha función». |
Además de facilitar evaluaciones automatizadas y periódicas basadas en controles internos, la plataforma también proporciona ciberseguridad y supervisión empresarial, evaluando continuamente las redes de terceros para identificar posibles debilidades que puedan ser explotadas por los ciberdelincuentes. Prevalent también ofrece pruebas de penetración como servicio para ayudar a los clientes a investigar las operaciones de la red de los proveedores a un nivel mucho más detallado. Con la integración de evaluaciones internas, supervisión cibernética externa y pruebas de penetración, las entidades cubiertas obtienen una visión completa de los riesgos de los proveedores, además de una orientación clara y práctica sobre las medidas correctivas para abordar dichos riesgos. |
| Título III – Marco de gobernanza 14 Supervisión de las funciones externalizadas Párrafo 104 «Las instituciones y las entidades de pago deben garantizar que los acuerdos de externalización cumplan las normas de rendimiento y calidad adecuadas, de conformidad con sus políticas, mediante: a. garantizar que reciben los informes adecuados de los proveedores de servicios; b. evaluar el rendimiento de los proveedores de servicios utilizando herramientas tales como indicadores clave de rendimiento, indicadores clave de control, informes de prestación de servicios, autocertificación y revisiones independientes; y c. revisar toda la demás información pertinente recibida del proveedor de servicios, incluidos los informes sobre las medidas de continuidad del negocio y las pruebas realizadas. |
El servicio Prevalent Assessment captura y audita conversaciones y compara la documentación o las pruebas con los riesgos. Los paneles de control, visualmente atractivos y coherentes, ofrecen una visión general clara de las tareas, los calendarios, las actividades de riesgo, el estado de finalización de las encuestas, los acuerdos y los documentos asociados. |
| Título III – Marco de gobernanza 14 Supervisión de las funciones externalizadas Párrafo 105 «Si se detectan deficiencias, las instituciones y las entidades de pago deben adoptar las medidas correctivas o reparadoras adecuadas». |
La solución Prevalent incluye un flujo de trabajo bidireccional y mecanismos de comunicación compartidos para realizar un seguimiento de los hallazgos y solucionar los problemas. |
SP 800-53 r5 Control de gestión de riesgos de la cadena de suministro (SR)
La siguiente tabla incluye un extracto del control de gestión de riesgos de la cadena de suministro SP 800-53 r5 y cómo la plataforma Prevalent aborda los requisitos. Para obtener una descripción completa, descargue laguía completa del NIST.
| SP 800-53 r5 Control de gestión de riesgos de la cadena de suministro (SR) | Cómo ayudamos |
|---|---|
| Política y procedimientos SR-1 | Los servicios de diseño de programas prevalentesdefinen y documentan su programa de gestión de riesgos de terceros. Obtendrá un plan claro que tiene en cuenta sus necesidades específicas e incorpora las mejores prácticas para una gestión integral de los riesgos de terceros. |
| SR-2 Plan de gestión de riesgos de la cadena de suministro | Los servicios de optimización de programas de Prevalentle ayudan a mejorar continuamente la implementación de la plataforma Prevalent, garantizando que su programa TPRM mantenga la flexibilidad y agilidad necesarias para satisfacer los requisitos empresariales y normativos en constante evolución. |
| SR-3 Controles y procesos de la cadena de suministro | Los servicios de diseño de programas prevalentesdefinen y documentan su programa de gestión de riesgos de terceros. Obtendrá un plan claro que tiene en cuenta sus necesidades específicas e incorpora las mejores prácticas para una gestión integral de los riesgos de terceros. |
| Estrategias, herramientas y métodos de adquisición SR-5 |
Prevalent ayuda a los equipos de compras a reducir los costes, la complejidad y la exposición al riesgo durante la selección de proveedores. Nuestra soluciónRFx Essentialsproporciona distribución, comparación y gestión centralizadas de las solicitudes de propuestas y solicitudes de información. También le ayuda a adelantarse alos posibles riesgos de los proveedorescon puntuaciones demográficas, de cuartos y ESG, además de información opcional sobre riesgos empresariales, reputacionales y financieros. Como resultado, podrá dar un importante primer paso para abordar los riesgos en el ciclo de vida de los terceros. Una vez completada la selección de proveedores, PrevalentContract Essentialscentraliza la distribución, discusión, retención y revisión de los contratos con los proveedores. También incluye capacidades de flujo de trabajo para automatizar el ciclo de vida del contrato, desde la incorporación hasta la salida. Con Contract Essentials, los equipos de compras y jurídicos disponen de una solución única para gestionar los contratos con los proveedores, simplificar la gestión y la revisión, y reducir los costes y los riesgos. |
| SR-6 Evaluaciones y revisiones de proveedores |
La plataforma Prevalent incluye más de 600 plantillas estandarizadas para encuestasde evaluación de riesgos, entre las que se incluyen las de NIST, ISO y muchas otras, un asistente para la creación de encuestas personalizadas y un cuestionario que asigna las respuestas a cualquier normativa o marco de cumplimiento. Todas las evaluaciones se basan en los estándares del sector y abordan todos los temas relacionados con la seguridad de la información en lo que respecta a los controles de seguridad de los socios de la cadena de suministro y la resiliencia empresarial. PrevalentVendor Threat Monitorrealiza un seguimiento y análisis continuos de las amenazas observables externamente para proveedores y otros terceros. El servicio complementa y valida los datos de control de seguridad comunicados por los proveedores desde la plataforma Prevalent mediante la supervisión de Internet y la web oscura en busca de ciberamenazas y vulnerabilidades, y correlaciona los resultados de la evaluación con la investigación sobre riesgos operativos, financieros, legales y de marca en un registro de riesgos unificado que permite la clasificación y respuesta centralizadas de los riesgos. |
| Acuerdos de notificación SR-8 | Con la plataforma Prevalent, puede colaborar en documentos, acuerdos y certificaciones, como acuerdos de confidencialidad, acuerdos de nivel de servicio, declaraciones de trabajo y contratos, con control de versiones integrado, asignación de tareas y cadencia de revisión automática. También puede gestionar todos los documentos a lo largo del ciclo de vida del proveedor en perfiles de proveedor centralizados. |
| Inventario de proveedores SR-13 |
Prevalent ofrece uncuestionario de evaluación de riesgos inherentescon una puntuación clara basada en ocho criterios para capturar, rastrear y cuantificar los riesgos de todos los terceros. Los criterios de evaluación incluyen:
Mediante la evaluación de riesgos inherentes, puede clasificar automáticamente a los proveedores, establecer los niveles adecuados de diligencia adicional y determinar el alcance de las evaluaciones periódicas posteriores. La lógica de clasificación basada en reglas permite categorizar a los proveedores en función de una serie de consideraciones relacionadas con la interacción de datos, las finanzas, la normativa y la reputación. |
