FCA FG 16/5 Cumplimiento

Contactar con un experto

Volver a todos los casos de uso

FCA FG 16/5 y gestión de riesgos de terceros

La Autoridad de Conducta Financiera (FCA) regula las empresas financieras que prestan servicios a los consumidores y mantiene la integridad de los mercados financieros en el Reino Unido. Su labor incluye la aplicación, supervisión y cumplimiento de las normas y reglamentos de la UE e internacionales en el Reino Unido. En julio de 2018, la FCA publicó su guía definitiva,FG 16/5 Guidance for firms outsourcing to the ‘cloud’ and other third-party IT services(Guía para empresas que externalizan a la«nube» y otros servicios informáticos de terceros), con el fin de ayudar a las empresas financieras a supervisar de forma eficaz todos los aspectos del ciclo de vida de los acuerdos de externalización.

La Guía 16/5 de la FCA añade controles específicos para la nube en consonancia con los requisitos generales de externalización de la FCA que se encuentran en las secciones de sistemas y controles (SYSC) del manual de la FCA para empresas debidamente reguladas, y también exige coherencia con el RGPD.

La FCA considera que el uso adecuado de la externalización a la nube y otros servicios informáticos de terceros es una forma de que las empresas aumenten su flexibilidad y permitan la innovación. Sin embargo, la FCA también reconoce que la externalización a la nube puede introducir riesgos que deben identificarse, supervisarse y mitigarse adecuadamente. Esto se logra mediante una evaluación de riesgos adecuada.

Directrices pertinentes

  • Supervisar de forma continua las actividades subcontratadas e identificar y gestionar los riesgos.

Cumplimiento de las directrices TPRM de la FCA

Así es como Prevalent puede ayudarle a abordar la guía de gestión de riesgos de terceros FCA FG 16/5:

Directrices FCA FG 16/5

Cómo ayudamos

Sección 3.4

«Una empresa identifica y gestiona adecuadamente los riesgos operativos asociados al uso de terceros, lo que incluye llevar a cabo la debida diligencia antes de decidir sobre la externalización. Nuestro enfoque se basa en el riesgo y es proporcionado, teniendo en cuenta la naturaleza, la escala y la complejidad de las operaciones de una empresa».

La solución Cyber & Business Monitoring de Prevalent ofrece a las empresas la posibilidad de obtener información sobre las posibles vulnerabilidades cibernéticas de un proveedor de servicios o los riesgos comerciales relevantes antes de firmar un contrato o durante un acuerdo comercial definido.

Prevalent combina el análisis de vulnerabilidades nativas con múltiples fuentes externas de inteligencia sobre amenazas cibernéticas para ofrecer información detallada sobre los riesgos cibernéticos de los proveedores de servicios.

Prevalent es única en el sentido de que ofrece un servicio de supervisión de riesgos empresariales que aprovecha los conocimientos de analistas humanos para interpretar los posibles riesgos operativos, de marca, normativos, legales y financieros.

Algunos ejemplos son:

  • Amenazas internas
  • Problemas financieros
  • Actividad de fusiones y adquisiciones
  • Despidos
  • Casos de violación de datos
  • Métricas de reputación

Gestión de riesgos

«Por consiguiente, las empresas deben:

  • Realizar una evaluación de riesgos para identificar los riesgos relevantes y determinar las medidas necesarias para mitigarlos.
  • documentar esta evaluación

El servicio Prevalent Assessment ofrece a los profesionales de la seguridad, la privacidad y la gestión de riesgos una plataforma automatizada para gestionar el proceso de evaluación de riesgos de los proveedores de servicios y determinar el cumplimiento de los requisitos de seguridad informática, normativos y de privacidad de datos. Utiliza cuestionarios estándar y personalizados para ayudar a recopilar pruebas y proporciona flujos de trabajo de corrección bidireccionales, informes en tiempo real y un panel de control fácil de usar para mayor eficiencia. Con informes claros y orientación sobre las medidas correctivas, la plataforma garantiza que los riesgos se identifiquen y se remitan a los canales adecuados.

Supervisión del proveedor de servicios

«Asegurarse de que el personal cuente con las habilidades y los recursos suficientes para supervisar y evaluar las actividades subcontratadas; identificar, monitorear y mitigar los riesgos que surjan».

La gestión de riesgos de terceros es costosa y requiere mucho tiempo cuando se utilizan procesos manuales de recopilación y compartición de datos ineficaces y propensos a errores. La solución de evaluación de Prevalent automatiza este proceso recopilando, organizando y presentando los datos de los proveedores de servicios para facilitar la toma de decisiones y gestionar el riesgo de los proveedores de forma inmediata.

Seguridad de los datos

«Las empresas deben llevar a cabo una evaluación de los riesgos de seguridad que incluya al proveedor de servicios y los activos tecnológicos administrados por la empresa».

La solución Prevalent permite utilizar cuestionarios automatizados, basados en estándares o personalizados para identificar y gestionar los riesgos de terceros.

Los cuestionarios basados en estándares evalúan a terceros en diversos controles, incluyendo ciberseguridad, TI, privacidad, seguridad de datos, alojamiento en la nube y resiliencia empresarial.

La plataforma también incluye flujos de trabajo de remediación bidireccionales, informes en tiempo real y un panel de control fácil de usar para mayor eficiencia.

Acceso efectivo a los datos

«Una empresa debe:

  • Asegurarse de que los requisitos de notificación sobre el acceso a los datos, tal y como se acordó con el proveedor de servicios, sean razonables y no excesivamente restrictivos.
  • asegurarse de que no existan restricciones en cuanto al número de solicitudes que la empresa, su auditor o el regulador puedan realizar para acceder o recibir datos».

La plataforma Prevalent Third-Party Risk Management incluye informes eficaces para satisfacer los requisitos de auditoría y cumplimiento, así como para presentar los resultados al consejo de administración y a la alta dirección. El perfil de riesgo completo se puede consultar en la consola centralizada de informes en tiempo real, y los informes se pueden descargar y exportar para determinar el estado de cumplimiento. Las amplias funciones de generación de informes incluyen filtros y gráficos interactivos en los que se puede hacer clic. La solución incluye un repositorio completo de toda la documentación recopilada y revisada durante el proceso de diligencia debida.

Recursos adicionales
Gobernanza, riesgo y cumplimiento normativo
Cómo cumplir los requisitos de la Autoridad de Conducta Financiera (FCA) en materia de servicios informáticos en la nube y de terceros
Más información
Gobernanza, riesgo y cumplimiento normativo
Conozca a su cliente (KYC): qué es y tres pasos clave
Más información
Ver más recursos

Potenciar. Automatizar. Elevar. Mitratech

©2026 Mitratech, Inc. Todos los derechos reservados.

Potenciar. Automatizar. Elevar. Mitratech

©2026 Mitratech, Inc. Todos los derechos reservados.