Orientaciones interinstitucionales sobre el cumplimiento de las relaciones con terceros

Requisitos de gestión de riesgos de terceros para empresas de servicios financieros

En junio de 2023, la Junta de Gobernadores del Sistema de la Reserva Federal (la Junta), la Corporación Federal de Seguros de Depósitos (FDIC) y la Oficina del Contralor de la Moneda (OCC) publicaron una guía uniforme sobre la gestión de los riesgos asociados a las relaciones con terceros en las entidades bancarias.

La Guía interinstitucional sobre relaciones con terceros: gestión de riesgosse basa en la guía de 2013 y las preguntas frecuentes de 2020 de la OCC. Reemplaza la guía existente de cada agencia sobre relaciones con terceros y se aplica a todas las organizaciones bancarias supervisadas por las agencias. El objetivo de la guía es aportar uniformidad y coherencia a la forma en que las organizaciones bancarias desarrollan y aplican los principios de gestión de riesgos en lo que respecta a las relaciones con terceros.

Requisitos pertinentes

Desarrollar un plan que describa la estrategia de la organización, identifique los riesgos inherentes a la actividad con el tercero y detalle cómo la organización identificará, evaluará, seleccionará y supervisará al tercero.
Realizar la debida diligencia al seleccionar un tercero.
Negociar contratos escritos que articulen los derechos y responsabilidades de todas las partes.
Hacer que la junta directiva y la dirección supervisen los procesos de gestión de riesgos de la organización, mantengan la documentación y la presentación de informes para la rendición de cuentas de la supervisión, y participen en revisiones independientes.
Realizar un seguimiento continuo de las actividades y el rendimiento de terceros.
Desarrollar planes de contingencia para poner fin a la relación de manera eficaz.

Alinee su programa de TPRM con las crecientes regulaciones ESG

Descargue esta guía para revisar las normas y la legislación actuales y futuras en materia de ESG, y aprenda cómo preparar su programa de TPRM para el cumplimiento normativo.

Leer ahora

Cumplimiento de las directrices interinstitucionales sobre los requisitos relativos a las relaciones con terceros

A continuación, le mostramos cómo Prevalent puede ayudarle a cumplir los requisitos de gestión de riesgos de terceros establecidos en la Guía:

Orientación	Cómo ayudamos
C. Ciclo de vida de las relaciones con terceros «Una gestión eficaz de los riesgos de terceros suele seguir un ciclo de vida continuo para las relaciones con terceros... El grado en que los ejemplos de consideraciones que se analizan en esta guía son relevantes para cada entidad bancaria se basa en hechos y circunstancias específicos, y es posible que estos ejemplos no se apliquen a todas las relaciones de una entidad bancaria con terceros...».
1. Planificación «Como parte de una gestión de riesgos sólida, una planificación eficaz permite a una entidad bancaria evaluar y considerar cómo gestionar los riesgos antes de establecer una relación con un tercero. Ciertos terceros, como los que prestan apoyo a las actividades de mayor riesgo de una entidad bancaria, incluidas las actividades críticas, suelen requerir un mayor grado de planificación y consideración. Por ejemplo, cuando se trata de actividades críticas, los planes pueden presentarse al consejo de administración de la entidad bancaria (o a un comité designado del consejo) para su aprobación...».	Como parte del proceso para establecer o perfeccionar su programa de gestión de riesgos de terceros, tenga en cuenta lo siguiente: Políticas, normas, sistemas y procesos de gobierno para proteger los sistemas y los datos. Funciones y responsabilidades (por ejemplo, RACI) de todos los miembros del equipo involucrados. Inventarios de terceros para comprender la escala y el alcance de la participación de terceros. Enfoques de clasificación y categorización de terceros Puntuación de riesgos y umbrales basados en la tolerancia al riesgo de su organización. Metodologías de evaluación y supervisión basadas en la criticidad de terceros. Participación de terceros y cuartos en la prestación de servicios críticos Fuentes de datos de supervisión continua (cibernética, empresarial, reputacional, financiera) Indicadores clave de rendimiento (KPI) e indicadores clave de riesgo (KRI) para evaluar su programa y a terceros. Requisitos de cumplimiento y presentación de informes contractuales Procesos de respuesta ante incidentes Informes internos para las partes interesadas: para la dirección y el consejo de administración. Estrategias de mitigación y remediación de riesgos Cada uno de estos elementos es fundamental para crear un plan integral del programa TPRM.
2. Diligencia debida y selección de terceros «Llevar a cabo la debida diligencia con terceros antes de seleccionarlos y establecer relaciones con ellos es una parte importante de una gestión de riesgos sólida. Proporciona a la dirección la información necesaria sobre los posibles terceros para determinar si una relación ayudaría a alcanzar los objetivos estratégicos y financieros de una entidad bancaria. El proceso de diligencia debida también proporciona a la entidad bancaria la información necesaria para evaluar si puede identificar, supervisar y controlar adecuadamente los riesgos asociados a la relación con ese tercero en particular. La diligencia debida incluye evaluar la capacidad del tercero para: realizar la actividad según lo previsto, cumplir las políticas de la entidad bancaria relacionadas con la actividad, cumplir todas las leyes y reglamentos aplicables y llevar a cabo la actividad de forma segura y sólida...».	Evaluar y supervisar a terceros en función del alcance de las amenazas a los activos de información mediante la captura, el seguimiento y la cuantificación delos riesgos inherentes. Los criterios utilizados para calcular el riesgo inherente para la clasificación de terceros incluyen: Tipo de contenido necesario para validar los controles Importancia crítica para el rendimiento y las operaciones empresariales Ubicación(es) y consideraciones legales o normativas relacionadas Nivel de dependencia de terceros (para evitar el riesgo de concentración) Exposición a procesos operativos o de atención al cliente Interacción con datos protegidos Situación financiera y salud Reputación A partir de esta evaluación de riesgos inherentes, su equipo puede clasificar automáticamente a los terceros, establecer los niveles adecuados de diligencia debida posterior y determinar el alcance de las evaluaciones continuas. La lógica de clasificación por niveles basada en reglas permite la categorización por parte de terceros utilizando una serie de consideraciones relacionadas con la interacción de datos, las finanzas, la normativa y la reputación.
a. Estrategias y objetivos «Revise la estrategia y los objetivos generales de la empresa de terceros para considerar cómo los acuerdos comerciales estratégicos actuales y propuestos por la empresa de terceros (como fusiones, adquisiciones, desinversiones, asociaciones, empresas conjuntas o iniciativas de marketing conjunto) pueden afectar a la actividad. Considere también revisar las filosofías de servicio, las iniciativas de calidad, las mejoras de eficiencia y las políticas y prácticas de empleo de la empresa de terceros. Considere si la selección de un tercero es coherente con las políticas y prácticas corporativas más amplias de una organización bancaria, incluidas sus políticas y prácticas de diversidad [...]».	Realizar un seguimiento y análisis continuos de las amenazas externas a terceros mediante la supervisión de fuentes públicas y privadas de información sobre reputación, sanciones y finanzas. Correlacione todos los datos de supervisión con los resultados de la evaluación y centralícelos en un registro de riesgos unificado para cada tercero, lo que agilizará la revisión de riesgos, la presentación de informes y las iniciativas de respuesta. Las fuentes de supervisión deben incluir: Fuentes públicas y privadas de información sobre reputación, incluyendo actividades de fusiones y adquisiciones, noticias empresariales, noticias negativas, información regulatoria y legal, actualizaciones operativas y más. Puntuaciones ambientales, sociales y de gobernanza (ESG) Fuentes de noticias globales Perfiles de personas políticamente expuestas Listas de sanciones globales Puntuaciones del Índice de Percepción de la Corrupción (CPI) Declaraciones sobre la esclavitud moderna
b. Cumplimiento legal y normativo «Una revisión de cualquier consideración legal y de cumplimiento normativo relacionada con la contratación de un tercero permite a una entidad bancaria evaluar si puede mitigar adecuadamente los riesgos asociados a la relación con dicho tercero...».	A medida que evalúe a un tercero, cree unperfil centralizadoque incluya información demográfica, titularidad real, tecnologías de terceros, puntuaciones ESG, información reciente sobre el negocio y la reputación, historial de violaciones de datos y conclusiones normativas recientes y resultados financieros. Las opciones pueden incluir analizar las fuentes de estos datos por separado o integrarlos en una vista única que sea extensible a varios equipos internos.
c. Situación financiera «La evaluación de la situación financiera de un tercero mediante el análisis de la información financiera disponible, incluidos los estados financieros auditados, los informes anuales y los documentos presentados ante la Comisión de Bolsa y Valores de Estados Unidos (SEC), entre otros, ayuda a una entidad bancaria a evaluar si el tercero tiene la capacidad y la estabilidad financieras necesarias para llevar a cabo la actividad...».	Aproveche unabase de datos global con información financiera de millones de empresas, incluyendo cambios organizativos y resultados financieros, volumen de negocios, pérdidas y ganancias, fondos de los accionistas, etc. Su equipo puede analizar las fuentes de estos datos por separado descargando los estados financieros, o integrar el análisis financiero en una estrategia más amplia de evaluación de riesgos.
f. Gestión de riesgos «La diligencia debida adecuada incluye una evaluación de la eficacia de la gestión global de riesgos de un tercero, incluidas las políticas, los procesos y los controles internos, así como la alineación con las políticas aplicables y las expectativas de la organización bancaria en torno a la actividad...». «Cuando sea pertinente y esté disponible, una entidad bancaria puede considerar la posibilidad de revisar los informes de control del sistema y la organización (SOC) y cualquier evaluación de conformidad o certificación realizada por terceros independientes en relación con las normas nacionales o internacionales pertinentes.11 En tales casos, la entidad bancaria también puede considerar si el alcance y los resultados de los informes SOC, las certificaciones o las evaluaciones son pertinentes para la actividad que se va a realizar o sugieren que podría ser conveniente un examen más detallado del tercero o de cualquiera de sus contratistas».	Automatice evaluaciones de riesgos ampliar la visibilidad, la eficiencia y la escala de su programa de gestión de riesgos de terceros en todas las etapas del ciclo de vida de los terceros. Asegúrese de que su enfoque de evaluación externa incluya: Una amplia biblioteca de evaluaciones estandarizadas (incluidas las deNISTeISO) y capacidades de personalización para evaluar a terceros con flexibilidad. Flujo de trabajo integrado para automatizar la identificación de riesgos (basado en los umbrales que establezca según la tolerancia al riesgo de su organización) y su asignación a los responsables. Recomendaciones de corrección integradas para reducir el riesgo residual. Informes automatizados sobre riesgos y cumplimiento normativo Los resultados de las evaluaciones y el seguimiento continuo deben recopilarse en un único registro de riesgos con informes de mapas de calor que midan y clasifiquen los riesgos en función de su probabilidad e impacto. Con esta información, los equipos pueden ver fácilmente las consecuencias de un riesgo y disponer de recomendaciones de corrección ya preparadas para que terceros mitiguen los riesgos. Para los terceros que presenten uninforme SOC 2en lugar de una evaluación de riesgos de terceros completada, identifique las deficiencias de control detectadas en el informe SOC 2, cree elementos de riesgo contra el tercero en una plataforma de evaluación centralizada y realice un seguimiento e informe sobre las deficiencias junto con otros riesgos.
g. Seguridad de la información «Comprender las posibles implicaciones en materia de seguridad de la información, incluido el acceso a los sistemas y la información de una entidad bancaria, puede ayudar a esta a decidir si contratar o no a un tercero. La diligencia debida en este ámbito suele implicar la evaluación del programa de seguridad de la información del tercero, incluida su coherencia con el programa de seguridad de la información de la entidad bancaria, como su enfoque para proteger la confidencialidad, la integridad y la disponibilidad de los datos de la entidad bancaria. También puede implicar determinar si existen lagunas que supongan un riesgo para la entidad bancaria o sus clientes y considerar en qué medida el tercero aplica controles para limitar el acceso a los datos y las transacciones de la entidad bancaria, como la autenticación multifactorial, el cifrado de extremo a extremo y la gestión segura del código fuente. También ayuda a la entidad bancaria a determinar si el tercero se mantiene informado y tiene suficiente experiencia en la identificación, evaluación y mitigación de amenazas y vulnerabilidades conocidas y emergentes. Según corresponda, la evaluación de los programas de seguridad de los datos, la infraestructura y las aplicaciones del tercero, incluido el ciclo de vida del desarrollo de software y los resultados de las pruebas de vulnerabilidad y penetración, puede proporcionar información valiosa sobre las vulnerabilidades del sistema de tecnología de la información. Por último, la diligencia debida puede ayudar a una organización bancaria a evaluar la aplicación por parte del tercero de medidas correctivas eficaces y sostenibles para subsanar cualquier deficiencia descubierta durante las pruebas».	Realizarevaluacionesde ciberseguridad por parte de terceros en el momento de la incorporación, la renovación del contrato o con la frecuencia que sea necesaria (por ejemplo, trimestral o anualmente). Asegurarse de que las evaluaciones estén respaldadas por capacidades de flujo de trabajo, gestión de tareas y revisión automatizada de pruebas. A continuación, realice un seguimiento y análisis continuos delas amenazas externas a tercerosmediante la supervisión de Internet y la web oscura en busca de amenazas cibernéticas y vulnerabilidades. Las fuentes de supervisión deben incluir: foros criminales; páginas onion; foros de acceso especial a la web oscura; fuentes de amenazas; sitios de pegado de credenciales filtradas; comunidades de seguridad; repositorios de código; bases de datos de vulnerabilidades; y bases de datos de violaciones de datos. Correlacione todos los datos de supervisión con los resultados de la evaluación y centralícelos en un registro de riesgos unificado para cada tercero, lo que agilizará la revisión de riesgos, la presentación de informes y las iniciativas de respuesta. Como se indica en el apartado (g) anterior, a continuación puede aplicar el flujo de trabajo integrado para clasificar y abordar los riesgos mediante recomendaciones de corrección.
i. Resiliencia operativa «La evaluación de las prácticas de resiliencia operativa de un tercero respalda la valoración que realiza una entidad bancaria de la capacidad de dicho tercero para operar de forma eficaz y recuperarse de cualquier interrupción o incidente, tanto interno como externo. Dicha evaluación es especialmente importante cuando el impacto de dicha interrupción podría tener un efecto adverso en la entidad bancaria o en sus clientes, incluso cuando el tercero interactúa con los clientes. Es importante evaluar las opciones que se pueden emplear si la capacidad del tercero para realizar la actividad se ve afectada y determinar si el tercero mantiene prácticas adecuadas de resiliencia operativa y ciberseguridad, incluidos planes de recuperación ante desastres y de continuidad del negocio que especifiquen el plazo para reanudar las actividades y recuperar los datos...».	Automatice la evaluación, la supervisión continua, el análisis y la corrección de la resiliencia y la continuidad empresarial de terceros mediante una evaluación integral de la resiliencia empresarial basada en la norma ISO 22301. Este enfoque permitirá a su equipo: Clasificar a los terceros según su perfil de riesgo y su importancia para el negocio. Esbozar los objetivos de punto de recuperación (RPO) y los objetivos de tiempo de recuperación (RTO). Centralizar el inventario del sistema, las evaluaciones de riesgos, los diagramas RACI y los terceros. Garantizar una comunicación fluida con terceros durante las interrupciones del negocio Para complementar las evaluaciones de resiliencia empresarial y validar los resultados: Automatizar la supervisión cibernética continua que pueda predecir posibles impactos comerciales de terceros. Acceda a información cualitativa procedente de fuentes públicas y privadas sobre la reputación que podría indicar inestabilidad. Aproveche la información financiera de una red global de empresas para identificar la salud financiera de terceros o problemas operativos. Este enfoque proactivo permite a su organización minimizar el impacto de las interrupciones de terceros y mantenerse al día con los requisitos de cumplimiento.
j. Programas de notificación y gestión de incidentes «La revisión y el análisis de los procesos de notificación y gestión de incidentes de un tercero son útiles para determinar si existen procesos, plazos y responsabilidades claramente documentados para identificar, notificar, investigar y escalar incidentes. Dicha revisión ayuda a confirmar que los procesos de escalación y notificación del tercero cumplen con las expectativas de la entidad bancaria y los requisitos normativos».	Considere estructurar y comparar su gestión de incidentes de terceros con uno de los siguientes marcos estándar del sector: NIST 800-61R2: Guía para la gestión de incidentes de seguridad informática ISO/IEC 27035-1: Gestión de incidentes de seguridad de la información, parte 1: Principios de gestión de incidentes ISO/IEC 27035-2: Gestión de incidentes de seguridad de la información. Parte 2: Directrices para planificar y prepararse para la gestión de incidentes. OCC 2021-55: Norma definitiva sobre notificación de incidentes bancarios, publicada el 23 de noviembre de 2021. OCC 2022-8: Puntos de contacto de tecnología de la información para notificaciones de incidentes de seguridad informática del banco, publicado el 29 de marzo de 2022. Los componentes clave de su informe de incidentes de terceros deben incluir: Cuestionarios personalizables para la gestión de eventos e incidentes Seguimiento en tiempo real del progreso en la cumplimentación del cuestionario Responsables de riesgos definidos con recordatorios automáticos para mantener las encuestas dentro del calendario previsto. Notificación proactiva por parte de terceros Vistas consolidadas de calificaciones de riesgo, recuentos, puntuaciones y respuestas marcadas para cada tercero. Reglas de flujo de trabajo para activar guías automatizadas que actúen sobre los riesgos según su impacto potencial en el negocio. Orientación a partir de recomendaciones de remediación integradas para reducir el riesgo. Plantillas de informes integradas Mapeo de datos y relaciones para identificar las relaciones entre su organización y terceros con el fin de visualizar las rutas de información y determinar los datos en riesgo.
l. Dependencia de subcontratistas «Una evaluación del volumen y los tipos de actividades subcontratadas y del grado en que el tercero depende de los subcontratistas ayuda a determinar si dichos acuerdos de subcontratación suponen un riesgo adicional o mayor para una entidad bancaria. Por lo general, esto incluye una evaluación de la capacidad del tercero para identificar, gestionar y mitigar los riesgos asociados a la subcontratación, incluyendo la forma en que el tercero selecciona y supervisa a sus subcontratistas y se asegura de que estos apliquen controles eficaces. Otras consideraciones importantes son si la ubicación geográfica de un subcontratista o la dependencia de un único proveedor para múltiples actividades suponen un riesgo adicional».	Identifiquelas relaciones de subcontratación de cuarta y enésima partemediante una evaluación basada en cuestionarios o mediante un análisis pasivo de la infraestructura pública del tercero. El mapa de relaciones resultante muestra las rutas de información y las dependencias que podrían exponer su entorno a riesgos. Los terceros descubiertos a través de este proceso son supervisados continuamente para identificar riesgos financieros, ESG, cibernéticos, comerciales y de violación de datos, así como para la detección de sanciones/PEP. Este enfoque proporciona información útil para abordar los posibles riesgos tecnológicos o de concentración geográfica.
3. Negociación del contrato «A la hora de evaluar si establecer una relación con un tercero, una entidad bancaria suele determinar si es necesario un contrato por escrito y si el contrato propuesto puede satisfacer los objetivos comerciales y las necesidades de gestión de riesgos de la entidad bancaria. Tras dicha determinación, una entidad bancaria suele negociar las disposiciones contractuales que facilitarán una gestión y supervisión eficaces de los riesgos y que especifican las expectativas y obligaciones tanto de la entidad bancaria como del tercero. Una entidad bancaria puede adaptar el nivel de detalle y exhaustividad de dichas cláusulas contractuales en función del riesgo y la complejidad que plantee la relación concreta con el tercero...».	Centralizar la distribución, discusión, retención y revisión de los contratos con terceros para que todos los equipos pertinentes puedan participar en las revisiones de los contratos y garantizar que se incluyan y gestionen las cláusulas adecuadas. Las prácticas clave que se deben tener en cuenta en la gestión de contratos con terceros incluyen: Almacenamiento centralizado de contratos Seguimiento de todos los contratos y atributos de los contratos, como el tipo, las fechas clave, el valor, los recordatorios y el estado, con vistas personalizadas basadas en funciones. Funciones de flujo de trabajo (basadas en el tipo de usuario o contrato) para automatizar el ciclo de vida de la gestión de contratos. Recordatorios automáticos y avisos de vencimiento para agilizar las revisiones de contratos. Discusión centralizada de contratos y seguimiento de comentarios Almacenamiento de contratos y documentos con permisos basados en roles y registros de auditoría de todos los accesos. Seguimiento del control de versiones que admite la edición de contratos y documentos sin conexión. Permisos basados en roles que permiten la asignación de tareas, el acceso a contratos y el acceso de lectura/escritura/modificación. Garantizar una gestión adecuada del ciclo de vida de los contratos permitirá a la organización: Gestionar acuerdos y rendimiento Aplicar la retención de información, las cláusulas de derecho a auditoría y las medidas correctivas. Obtener informes de cumplimiento Exigir resiliencia y continuidad empresarial. Aportar visibilidad a la subcontratación y a los terceros con sede en el extranjero.
b. Medidas de rendimiento o puntos de referencia «En determinadas relaciones, unas medidas de rendimiento claramente definidas pueden ayudar a una entidad bancaria a evaluar el rendimiento de un tercero. En concreto, un acuerdo de nivel de servicio entre la entidad bancaria y el tercero puede ayudar a especificar las medidas relativas a las expectativas y responsabilidades de ambas partes, incluido el cumplimiento de las políticas y procedimientos y de las leyes y normativas aplicables. Dichas medidas pueden utilizarse para supervisar el rendimiento, penalizar el rendimiento deficiente o recompensar el rendimiento sobresaliente. Es importante negociar medidas de rendimiento que no incentiven un rendimiento o un comportamiento imprudente, como fomentar el volumen o la velocidad de procesamiento sin tener en cuenta la precisión, los requisitos de cumplimiento o los efectos adversos para la entidad bancaria o los clientes».	Durante la fase de negociación del contrato del ciclo de vida de terceros, incluya acuerdos de nivel de servicio (SLA) exigibles, indicadores clave de rendimiento (KPI) e indicadores clave de riesgo (KRI) en los contratos con terceros, asigne propietarios y realice un seguimiento continuo del progreso hacia el cumplimiento de esas medidas. Es importante determinar la diferencia entre los indicadores clave de rendimiento (KPI) y los indicadores clave de riesgo (KRI) y comprender cómo se relacionan entre sí. Los indicadores clave de rendimiento (KPI) miden la eficacia de las funciones y los procesos. Los indicadores clave de riesgo (KRI) indican el nivel de riesgo al que se enfrenta la organización y qué medidas de tratamiento del riesgo deben aplicarse. A la hora de medir los KPI y los KRI, clasifíquelos de la siguiente manera: Las mediciones de riesgo ayudan a comprender el riesgo que conlleva hacer negocios con un tercero, así como las medidas de mitigación asociadas. Las mediciones de amenazas se superponen en cierta medida con el riesgo y ofrecen una visión más completa y validada del riesgo. Las mediciones de cumplimiento definen si los terceros cumplen con sus requisitos de controles internos. Las mediciones de cobertura responden a la pregunta: «¿Tengo una cobertura completa de la huella de terceros y están clasificadas y tratadas adecuadamente?». A continuación, asegúrese de vincular los resultados con las disposiciones del contrato para proporcionar una gobernanza completa sobre el proceso.
4. Supervisión continua «La supervisión continua permite a una entidad bancaria: (1) confirmar la calidad y la sostenibilidad de los controles de un tercero y su capacidad para cumplir con las obligaciones contractuales; (2) escalar cuestiones o inquietudes importantes, como hallazgos de auditoría significativos o repetidos, deterioro de la situación financiera, violaciones de seguridad, pérdida de datos, interrupciones del servicio, incumplimientos normativos u otros indicadores de aumento del riesgo; y (3) responder a dichas cuestiones o inquietudes importantes cuando se identifiquen...». «Una gestión eficaz de los riesgos de terceros incluye una supervisión continua durante toda la duración de la relación con dichos terceros, acorde con el nivel de riesgo y la complejidad de la relación y la actividad realizada por los terceros...». «La supervisión continua puede realizarse de forma periódica o continua, y es conveniente que sea más exhaustiva o frecuente cuando la relación con terceros respalda actividades de mayor riesgo, incluidas las actividades críticas. Dado que tanto el nivel como los tipos de riesgos pueden cambiar a lo largo de la duración de las relaciones con terceros, las entidades bancarias pueden adaptar sus prácticas de supervisión continua en consecuencia, incluyendo cambios en la frecuencia o el tipo de información utilizada en la supervisión...».	Realizar un seguimiento y análisis continuos delas amenazas externas a tercerosmediante la supervisión de Internet y la web oscura en busca de amenazas cibernéticas y vulnerabilidades, así como de fuentes públicas y privadas de información sobre reputación, sanciones y finanzas. Las fuentes de supervisión deben incluir: Foros criminales; miles de páginas onion; foros de acceso especial a la dark web; fuentes de amenazas; y sitios de pegado para credenciales filtradas, así como varias comunidades de seguridad, repositorios de código y bases de datos de vulnerabilidades. Fuentes públicas y privadas de información sobre reputación, incluyendo actividades de fusiones y adquisiciones, noticias empresariales, noticias negativas, información regulatoria y legal, actualizaciones operativas y más. Resultados financieros, incluyendo volumen de negocios, pérdidas y ganancias, fondos de los accionistas, etc. Fuentes de noticias globales Perfiles de personas políticamente expuestas Listas de sanciones globales Correlacione todos los datos de supervisión con los resultados de la evaluación y centralícelos en un registro de riesgos unificado para cada tercero, lo que agilizará la revisión de riesgos, la presentación de informes y las iniciativas de respuesta.
5. Rescisión «Una entidad bancaria puede rescindir una relación por diversos motivos, tales como la expiración o el incumplimiento del contrato, el incumplimiento por parte del tercero de las leyes o normativas aplicables, o el deseo de buscar un tercero alternativo, internalizar la actividad o interrumpirla. Cuando esto ocurre, es importante que la dirección rescinda las relaciones de manera eficiente, ya sea que las actividades se transfieran a otro tercero, se internalicen o se interrumpan...».	Automatice las evaluaciones de contratos y los procedimientosde bajapara reducir el riesgo de exposición de su organización tras la finalización del contrato. Programa tareas para revisar los contratos y asegurarte de que se han cumplido todas las obligaciones. Emite evaluaciones de contratos personalizables para valorar el estado. Aproveche las encuestas y los flujos de trabajo personalizables para generar informes sobre el acceso al sistema, la destrucción de datos, la gestión de accesos, el cumplimiento de todas las leyes pertinentes, los pagos finales y mucho más. Almacene y gestione de forma centralizada documentos y certificaciones, como acuerdos de confidencialidad, acuerdos de nivel de servicio, declaraciones de trabajo y contratos. Aproveche el análisis automatizado de documentos integrado basado en el procesamiento del lenguaje natural y el análisis de aprendizaje automático de AWS para confirmar que se cumplen los criterios clave. Tome medidas prácticas para reducir el riesgo de terceros con recomendaciones y orientación integradas para la corrección. Visualice y aborde los requisitos de cumplimiento mediante la asignación automática de los resultados de las evaluaciones a cualquier normativa o marco regulatorio.
D. Gobernanza «Las entidades bancarias disponen de diversas formas de estructurar sus procesos de gestión de riesgos de terceros. Algunas entidades bancarias distribuyen la responsabilidad de sus procesos de gestión de riesgos de terceros entre sus líneas de negocio. Otras entidades bancarias pueden centralizar los procesos en sus funciones de cumplimiento normativo, seguridad de la información, adquisiciones o gestión de riesgos. Independientemente de cómo estructure una entidad bancaria su proceso, las siguientes prácticas suelen tenerse en cuenta a lo largo del ciclo de vida de la gestión de riesgos de terceros, en función del riesgo y la complejidad».	Para abordar los requisitos de gobernanza del programa de gestión de riesgos de terceros, busque una plataforma TPRM que automatice los flujos de trabajo necesarios para incorporar a terceros e identificar, evaluar, gestionar, supervisar continuamente y remediar los riesgos relacionados con la seguridad, la privacidad, el cumplimiento normativo, las operaciones y las compras/cadena de suministro de terceros en todas las etapas del ciclo de vida del proveedor. Una solución integral que unifique la gestión de múltiples tipos de riesgos en beneficio de los equipos multifuncionales reducirá los costes, facilitará la presentación de informes de cumplimiento y reducirá el riesgo de que se produzcan lagunas en los controles.

Orientación

Cómo ayudamos

C. Ciclo de vida de las relaciones con terceros

«Una gestión eficaz de los riesgos de terceros suele seguir un ciclo de vida continuo para las relaciones con terceros... El grado en que los ejemplos de consideraciones que se analizan en esta guía son relevantes para cada entidad bancaria se basa en hechos y circunstancias específicos, y es posible que estos ejemplos no se apliquen a todas las relaciones de una entidad bancaria con terceros...».

1. Planificación

«Como parte de una gestión de riesgos sólida, una planificación eficaz permite a una entidad bancaria evaluar y considerar cómo gestionar los riesgos antes de establecer una relación con un tercero. Ciertos terceros, como los que prestan apoyo a las actividades de mayor riesgo de una entidad bancaria, incluidas las actividades críticas, suelen requerir un mayor grado de planificación y consideración. Por ejemplo, cuando se trata de actividades críticas, los planes pueden presentarse al consejo de administración de la entidad bancaria (o a un comité designado del consejo) para su aprobación...».

Como parte del proceso para establecer o perfeccionar su programa de gestión de riesgos de terceros, tenga en cuenta lo siguiente:

Políticas, normas, sistemas y procesos de gobierno para proteger los sistemas y los datos.
Funciones y responsabilidades (por ejemplo, RACI) de todos los miembros del equipo involucrados.
Inventarios de terceros para comprender la escala y el alcance de la participación de terceros.
Enfoques de clasificación y categorización de terceros
Puntuación de riesgos y umbrales basados en la tolerancia al riesgo de su organización.
Metodologías de evaluación y supervisión basadas en la criticidad de terceros.
Participación de terceros y cuartos en la prestación de servicios críticos
Fuentes de datos de supervisión continua (cibernética, empresarial, reputacional, financiera)
Indicadores clave de rendimiento (KPI) e indicadores clave de riesgo (KRI) para evaluar su programa y a terceros.
Requisitos de cumplimiento y presentación de informes contractuales
Procesos de respuesta ante incidentes
Informes internos para las partes interesadas: para la dirección y el consejo de administración.
Estrategias de mitigación y remediación de riesgos

Cada uno de estos elementos es fundamental para crear un plan integral del programa TPRM.

2. Diligencia debida y selección de terceros

«Llevar a cabo la debida diligencia con terceros antes de seleccionarlos y establecer relaciones con ellos es una parte importante de una gestión de riesgos sólida. Proporciona a la dirección la información necesaria sobre los posibles terceros para determinar si una relación ayudaría a alcanzar los objetivos estratégicos y financieros de una entidad bancaria. El proceso de diligencia debida también proporciona a la entidad bancaria la información necesaria para evaluar si puede identificar, supervisar y controlar adecuadamente los riesgos asociados a la relación con ese tercero en particular. La diligencia debida incluye evaluar la capacidad del tercero para: realizar la actividad según lo previsto, cumplir las políticas de la entidad bancaria relacionadas con la actividad, cumplir todas las leyes y reglamentos aplicables y llevar a cabo la actividad de forma segura y sólida...».

Evaluar y supervisar a terceros en función del alcance de las amenazas a los activos de información mediante la captura, el seguimiento y la cuantificación delos riesgos inherentes. Los criterios utilizados para calcular el riesgo inherente para la clasificación de terceros incluyen:

Tipo de contenido necesario para validar los controles
Importancia crítica para el rendimiento y las operaciones empresariales
Ubicación(es) y consideraciones legales o normativas relacionadas
Nivel de dependencia de terceros (para evitar el riesgo de concentración)
Exposición a procesos operativos o de atención al cliente
Interacción con datos protegidos
Situación financiera y salud
Reputación

A partir de esta evaluación de riesgos inherentes, su equipo puede clasificar automáticamente a los terceros, establecer los niveles adecuados de diligencia debida posterior y determinar el alcance de las evaluaciones continuas.

La lógica de clasificación por niveles basada en reglas permite la categorización por parte de terceros utilizando una serie de consideraciones relacionadas con la interacción de datos, las finanzas, la normativa y la reputación.

a. Estrategias y objetivos

«Revise la estrategia y los objetivos generales de la empresa de terceros para considerar cómo los acuerdos comerciales estratégicos actuales y propuestos por la empresa de terceros (como fusiones, adquisiciones, desinversiones, asociaciones, empresas conjuntas o iniciativas de marketing conjunto) pueden afectar a la actividad. Considere también revisar las filosofías de servicio, las iniciativas de calidad, las mejoras de eficiencia y las políticas y prácticas de empleo de la empresa de terceros. Considere si la selección de un tercero es coherente con las políticas y prácticas corporativas más amplias de una organización bancaria, incluidas sus políticas y prácticas de diversidad [...]».

Realizar un seguimiento y análisis continuos de las amenazas externas a terceros mediante la supervisión de fuentes públicas y privadas de información sobre reputación, sanciones y finanzas.

Correlacione todos los datos de supervisión con los resultados de la evaluación y centralícelos en un registro de riesgos unificado para cada tercero, lo que agilizará la revisión de riesgos, la presentación de informes y las iniciativas de respuesta.

Las fuentes de supervisión deben incluir:

Fuentes públicas y privadas de información sobre reputación, incluyendo actividades de fusiones y adquisiciones, noticias empresariales, noticias negativas, información regulatoria y legal, actualizaciones operativas y más.
Puntuaciones ambientales, sociales y de gobernanza (ESG)
Fuentes de noticias globales
Perfiles de personas políticamente expuestas
Listas de sanciones globales
Puntuaciones del Índice de Percepción de la Corrupción (CPI)
Declaraciones sobre la esclavitud moderna

b. Cumplimiento legal y normativo

«Una revisión de cualquier consideración legal y de cumplimiento normativo relacionada con la contratación de un tercero permite a una entidad bancaria evaluar si puede mitigar adecuadamente los riesgos asociados a la relación con dicho tercero...».

A medida que evalúe a un tercero, cree unperfil centralizadoque incluya información demográfica, titularidad real, tecnologías de terceros, puntuaciones ESG, información reciente sobre el negocio y la reputación, historial de violaciones de datos y conclusiones normativas recientes y resultados financieros.

Las opciones pueden incluir analizar las fuentes de estos datos por separado o integrarlos en una vista única que sea extensible a varios equipos internos.

c. Situación financiera

«La evaluación de la situación financiera de un tercero mediante el análisis de la información financiera disponible, incluidos los estados financieros auditados, los informes anuales y los documentos presentados ante la Comisión de Bolsa y Valores de Estados Unidos (SEC), entre otros, ayuda a una entidad bancaria a evaluar si el tercero tiene la capacidad y la estabilidad financieras necesarias para llevar a cabo la actividad...».

Aproveche unabase de datos global con información financiera de millones de empresas, incluyendo cambios organizativos y resultados financieros, volumen de negocios, pérdidas y ganancias, fondos de los accionistas, etc.

Su equipo puede analizar las fuentes de estos datos por separado descargando los estados financieros, o integrar el análisis financiero en una estrategia más amplia de evaluación de riesgos.

f. Gestión de riesgos

«La diligencia debida adecuada incluye una evaluación de la eficacia de la gestión global de riesgos de un tercero, incluidas las políticas, los procesos y los controles internos, así como la alineación con las políticas aplicables y las expectativas de la organización bancaria en torno a la actividad...».

«Cuando sea pertinente y esté disponible, una entidad bancaria puede considerar la posibilidad de revisar los informes de control del sistema y la organización (SOC) y cualquier evaluación de conformidad o certificación realizada por terceros independientes en relación con las normas nacionales o internacionales pertinentes.11 En tales casos, la entidad bancaria también puede considerar si el alcance y los resultados de los informes SOC, las certificaciones o las evaluaciones son pertinentes para la actividad que se va a realizar o sugieren que podría ser conveniente un examen más detallado del tercero o de cualquiera de sus contratistas».

Automatice evaluaciones de riesgos ampliar la visibilidad, la eficiencia y la escala de su programa de gestión de riesgos de terceros en todas las etapas del ciclo de vida de los terceros.
Asegúrese de que su enfoque de evaluación externa incluya:

Una amplia biblioteca de evaluaciones estandarizadas (incluidas las deNISTeISO) y capacidades de personalización para evaluar a terceros con flexibilidad.
Flujo de trabajo integrado para automatizar la identificación de riesgos (basado en los umbrales que establezca según la tolerancia al riesgo de su organización) y su asignación a los responsables.
Recomendaciones de corrección integradas para reducir el riesgo residual.
Informes automatizados sobre riesgos y cumplimiento normativo

Los resultados de las evaluaciones y el seguimiento continuo deben recopilarse en un único registro de riesgos con informes de mapas de calor que midan y clasifiquen los riesgos en función de su probabilidad e impacto. Con esta información, los equipos pueden ver fácilmente las consecuencias de un riesgo y disponer de recomendaciones de corrección ya preparadas para que terceros mitiguen los riesgos.

Para los terceros que presenten uninforme SOC 2en lugar de una evaluación de riesgos de terceros completada, identifique las deficiencias de control detectadas en el informe SOC 2, cree elementos de riesgo contra el tercero en una plataforma de evaluación centralizada y realice un seguimiento e informe sobre las deficiencias junto con otros riesgos.

g. Seguridad de la información

«Comprender las posibles implicaciones en materia de seguridad de la información, incluido el acceso a los sistemas y la información de una entidad bancaria, puede ayudar a esta a decidir si contratar o no a un tercero. La diligencia debida en este ámbito suele implicar la evaluación del programa de seguridad de la información del tercero, incluida su coherencia con el programa de seguridad de la información de la entidad bancaria, como su enfoque para proteger la confidencialidad, la integridad y la disponibilidad de los datos de la entidad bancaria. También puede implicar determinar si existen lagunas que supongan un riesgo para la entidad bancaria o sus clientes y considerar en qué medida el tercero aplica controles para limitar el acceso a los datos y las transacciones de la entidad bancaria, como la autenticación multifactorial, el cifrado de extremo a extremo y la gestión segura del código fuente. También ayuda a la entidad bancaria a determinar si el tercero se mantiene informado y tiene suficiente experiencia en la identificación, evaluación y mitigación de amenazas y vulnerabilidades conocidas y emergentes. Según corresponda, la evaluación de los programas de seguridad de los datos, la infraestructura y las aplicaciones del tercero, incluido el ciclo de vida del desarrollo de software y los resultados de las pruebas de vulnerabilidad y penetración, puede proporcionar información valiosa sobre las vulnerabilidades del sistema de tecnología de la información. Por último, la diligencia debida puede ayudar a una organización bancaria a evaluar la aplicación por parte del tercero de medidas correctivas eficaces y sostenibles para subsanar cualquier deficiencia descubierta durante las pruebas».

Realizarevaluacionesde ciberseguridad por parte de terceros en el momento de la incorporación, la renovación del contrato o con la frecuencia que sea necesaria (por ejemplo, trimestral o anualmente). Asegurarse de que las evaluaciones estén respaldadas por capacidades de flujo de trabajo, gestión de tareas y revisión automatizada de pruebas.

A continuación, realice un seguimiento y análisis continuos delas amenazas externas a tercerosmediante la supervisión de Internet y la web oscura en busca de amenazas cibernéticas y vulnerabilidades. Las fuentes de supervisión deben incluir: foros criminales; páginas onion; foros de acceso especial a la web oscura; fuentes de amenazas; sitios de pegado de credenciales filtradas; comunidades de seguridad; repositorios de código; bases de datos de vulnerabilidades; y bases de datos de violaciones de datos.

Como se indica en el apartado (g) anterior, a continuación puede aplicar el flujo de trabajo integrado para clasificar y abordar los riesgos mediante recomendaciones de corrección.

i. Resiliencia operativa

«La evaluación de las prácticas de resiliencia operativa de un tercero respalda la valoración que realiza una entidad bancaria de la capacidad de dicho tercero para operar de forma eficaz y recuperarse de cualquier interrupción o incidente, tanto interno como externo. Dicha evaluación es especialmente importante cuando el impacto de dicha interrupción podría tener un efecto adverso en la entidad bancaria o en sus clientes, incluso cuando el tercero interactúa con los clientes. Es importante evaluar las opciones que se pueden emplear si la capacidad del tercero para realizar la actividad se ve afectada y determinar si el tercero mantiene prácticas adecuadas de resiliencia operativa y ciberseguridad, incluidos planes de recuperación ante desastres y de continuidad del negocio que especifiquen el plazo para reanudar las actividades y recuperar los datos...».

Automatice la evaluación, la supervisión continua, el análisis y la corrección de la resiliencia y la continuidad empresarial de terceros mediante una evaluación integral de la resiliencia empresarial basada en la norma ISO 22301.

Este enfoque permitirá a su equipo:

Clasificar a los terceros según su perfil de riesgo y su importancia para el negocio.
Esbozar los objetivos de punto de recuperación (RPO) y los objetivos de tiempo de recuperación (RTO).
Centralizar el inventario del sistema, las evaluaciones de riesgos, los diagramas RACI y los terceros.
Garantizar una comunicación fluida con terceros durante las interrupciones del negocio
Para complementar las evaluaciones de resiliencia empresarial y validar los resultados:
Automatizar la supervisión cibernética continua que pueda predecir posibles impactos comerciales de terceros.
Acceda a información cualitativa procedente de fuentes públicas y privadas sobre la reputación que podría indicar inestabilidad.
Aproveche la información financiera de una red global de empresas para identificar la salud financiera de terceros o problemas operativos.

Este enfoque proactivo permite a su organización minimizar el impacto de las interrupciones de terceros y mantenerse al día con los requisitos de cumplimiento.

j. Programas de notificación y gestión de incidentes

«La revisión y el análisis de los procesos de notificación y gestión de incidentes de un tercero son útiles para determinar si existen procesos, plazos y responsabilidades claramente documentados para identificar, notificar, investigar y escalar incidentes. Dicha revisión ayuda a confirmar que los procesos de escalación y notificación del tercero cumplen con las expectativas de la entidad bancaria y los requisitos normativos».

Considere estructurar y comparar su gestión de incidentes de terceros con uno de los siguientes marcos estándar del sector:

NIST 800-61R2: Guía para la gestión de incidentes de seguridad informática
ISO/IEC 27035-1: Gestión de incidentes de seguridad de la información, parte 1: Principios de gestión de incidentes
ISO/IEC 27035-2: Gestión de incidentes de seguridad de la información. Parte 2: Directrices para planificar y prepararse para la gestión de incidentes.
OCC 2021-55: Norma definitiva sobre notificación de incidentes bancarios, publicada el 23 de noviembre de 2021.
OCC 2022-8: Puntos de contacto de tecnología de la información para notificaciones de incidentes de seguridad informática del banco, publicado el 29 de marzo de 2022.

Los componentes clave de su informe de incidentes de terceros deben incluir:

Cuestionarios personalizables para la gestión de eventos e incidentes
Seguimiento en tiempo real del progreso en la cumplimentación del cuestionario
Responsables de riesgos definidos con recordatorios automáticos para mantener las encuestas dentro del calendario previsto.
Notificación proactiva por parte de terceros
Vistas consolidadas de calificaciones de riesgo, recuentos, puntuaciones y respuestas marcadas para cada tercero.
Reglas de flujo de trabajo para activar guías automatizadas que actúen sobre los riesgos según su impacto potencial en el negocio.
Orientación a partir de recomendaciones de remediación integradas para reducir el riesgo.
Plantillas de informes integradas
Mapeo de datos y relaciones para identificar las relaciones entre su organización y terceros con el fin de visualizar las rutas de información y determinar los datos en riesgo.

l. Dependencia de subcontratistas

«Una evaluación del volumen y los tipos de actividades subcontratadas y del grado en que el tercero depende de los subcontratistas ayuda a determinar si dichos acuerdos de subcontratación suponen un riesgo adicional o mayor para una entidad bancaria. Por lo general, esto incluye una evaluación de la capacidad del tercero para identificar, gestionar y mitigar los riesgos asociados a la subcontratación, incluyendo la forma en que el tercero selecciona y supervisa a sus subcontratistas y se asegura de que estos apliquen controles eficaces. Otras consideraciones importantes son si la ubicación geográfica de un subcontratista o la dependencia de un único proveedor para múltiples actividades suponen un riesgo adicional».

Identifiquelas relaciones de subcontratación de cuarta y enésima partemediante una evaluación basada en cuestionarios o mediante un análisis pasivo de la infraestructura pública del tercero. El mapa de relaciones resultante muestra las rutas de información y las dependencias que podrían exponer su entorno a riesgos.

Los terceros descubiertos a través de este proceso son supervisados continuamente para identificar riesgos financieros, ESG, cibernéticos, comerciales y de violación de datos, así como para la detección de sanciones/PEP.

Este enfoque proporciona información útil para abordar los posibles riesgos tecnológicos o de concentración geográfica.

3. Negociación del contrato

«A la hora de evaluar si establecer una relación con un tercero, una entidad bancaria suele determinar si es necesario un contrato por escrito y si el contrato propuesto puede satisfacer los objetivos comerciales y las necesidades de gestión de riesgos de la entidad bancaria. Tras dicha determinación, una entidad bancaria suele negociar las disposiciones contractuales que facilitarán una gestión y supervisión eficaces de los riesgos y que especifican las expectativas y obligaciones tanto de la entidad bancaria como del tercero. Una entidad bancaria puede adaptar el nivel de detalle y exhaustividad de dichas cláusulas contractuales en función del riesgo y la complejidad que plantee la relación concreta con el tercero...».

Centralizar la distribución, discusión, retención y revisión de los contratos con terceros para que todos los equipos pertinentes puedan participar en las revisiones de los contratos y garantizar que se incluyan y gestionen las cláusulas adecuadas.

Las prácticas clave que se deben tener en cuenta en la gestión de contratos con terceros incluyen:

Almacenamiento centralizado de contratos
Seguimiento de todos los contratos y atributos de los contratos, como el tipo, las fechas clave, el valor, los recordatorios y el estado, con vistas personalizadas basadas en funciones.
Funciones de flujo de trabajo (basadas en el tipo de usuario o contrato) para automatizar el ciclo de vida de la gestión de contratos.
Recordatorios automáticos y avisos de vencimiento para agilizar las revisiones de contratos.
Discusión centralizada de contratos y seguimiento de comentarios
Almacenamiento de contratos y documentos con permisos basados en roles y registros de auditoría de todos los accesos.
Seguimiento del control de versiones que admite la edición de contratos y documentos sin conexión.
Permisos basados en roles que permiten la asignación de tareas, el acceso a contratos y el acceso de lectura/escritura/modificación.

Garantizar una gestión adecuada del ciclo de vida de los contratos permitirá a la organización:

Gestionar acuerdos y rendimiento
Aplicar la retención de información, las cláusulas de derecho a auditoría y las medidas correctivas.
Obtener informes de cumplimiento
Exigir resiliencia y continuidad empresarial.
Aportar visibilidad a la subcontratación y a los terceros con sede en el extranjero.

b. Medidas de rendimiento o puntos de referencia

«En determinadas relaciones, unas medidas de rendimiento claramente definidas pueden ayudar a una entidad bancaria a evaluar el rendimiento de un tercero. En concreto, un acuerdo de nivel de servicio entre la entidad bancaria y el tercero puede ayudar a especificar las medidas relativas a las expectativas y responsabilidades de ambas partes, incluido el cumplimiento de las políticas y procedimientos y de las leyes y normativas aplicables. Dichas medidas pueden utilizarse para supervisar el rendimiento, penalizar el rendimiento deficiente o recompensar el rendimiento sobresaliente. Es importante negociar medidas de rendimiento que no incentiven un rendimiento o un comportamiento imprudente, como fomentar el volumen o la velocidad de procesamiento sin tener en cuenta la precisión, los requisitos de cumplimiento o los efectos adversos para la entidad bancaria o los clientes».

Durante la fase de negociación del contrato del ciclo de vida de terceros, incluya acuerdos de nivel de servicio (SLA) exigibles, indicadores clave de rendimiento (KPI) e indicadores clave de riesgo (KRI) en los contratos con terceros, asigne propietarios y realice un seguimiento continuo del progreso hacia el cumplimiento de esas medidas.

Es importante determinar la diferencia entre los indicadores clave de rendimiento (KPI) y los indicadores clave de riesgo (KRI) y comprender cómo se relacionan entre sí.

Los indicadores clave de rendimiento (KPI) miden la eficacia de las funciones y los procesos.
Los indicadores clave de riesgo (KRI) indican el nivel de riesgo al que se enfrenta la organización y qué medidas de tratamiento del riesgo deben aplicarse.

A la hora de medir los KPI y los KRI, clasifíquelos de la siguiente manera:

Las mediciones de riesgo ayudan a comprender el riesgo que conlleva hacer negocios con un tercero, así como las medidas de mitigación asociadas.
Las mediciones de amenazas se superponen en cierta medida con el riesgo y ofrecen una visión más completa y validada del riesgo.
Las mediciones de cumplimiento definen si los terceros cumplen con sus requisitos de controles internos.
Las mediciones de cobertura responden a la pregunta: «¿Tengo una cobertura completa de la huella de terceros y están clasificadas y tratadas adecuadamente?».

A continuación, asegúrese de vincular los resultados con las disposiciones del contrato para proporcionar una gobernanza completa sobre el proceso.

4. Supervisión continua

«La supervisión continua permite a una entidad bancaria: (1) confirmar la calidad y la sostenibilidad de los controles de un tercero y su capacidad para cumplir con las obligaciones contractuales; (2) escalar cuestiones o inquietudes importantes, como hallazgos de auditoría significativos o repetidos, deterioro de la situación financiera, violaciones de seguridad, pérdida de datos, interrupciones del servicio, incumplimientos normativos u otros indicadores de aumento del riesgo; y (3) responder a dichas cuestiones o inquietudes importantes cuando se identifiquen...».

«Una gestión eficaz de los riesgos de terceros incluye una supervisión continua durante toda la duración de la relación con dichos terceros, acorde con el nivel de riesgo y la complejidad de la relación y la actividad realizada por los terceros...».

«La supervisión continua puede realizarse de forma periódica o continua, y es conveniente que sea más exhaustiva o frecuente cuando la relación con terceros respalda actividades de mayor riesgo, incluidas las actividades críticas. Dado que tanto el nivel como los tipos de riesgos pueden cambiar a lo largo de la duración de las relaciones con terceros, las entidades bancarias pueden adaptar sus prácticas de supervisión continua en consecuencia, incluyendo cambios en la frecuencia o el tipo de información utilizada en la supervisión...».

Realizar un seguimiento y análisis continuos delas amenazas externas a tercerosmediante la supervisión de Internet y la web oscura en busca de amenazas cibernéticas y vulnerabilidades, así como de fuentes públicas y privadas de información sobre reputación, sanciones y finanzas.

Las fuentes de supervisión deben incluir:

Foros criminales; miles de páginas onion; foros de acceso especial a la dark web; fuentes de amenazas; y sitios de pegado para credenciales filtradas, así como varias comunidades de seguridad, repositorios de código y bases de datos de vulnerabilidades.
Fuentes públicas y privadas de información sobre reputación, incluyendo actividades de fusiones y adquisiciones, noticias empresariales, noticias negativas, información regulatoria y legal, actualizaciones operativas y más.
Resultados financieros, incluyendo volumen de negocios, pérdidas y ganancias, fondos de los accionistas, etc.
Fuentes de noticias globales
Perfiles de personas políticamente expuestas
Listas de sanciones globales

5. Rescisión

«Una entidad bancaria puede rescindir una relación por diversos motivos, tales como la expiración o el incumplimiento del contrato, el incumplimiento por parte del tercero de las leyes o normativas aplicables, o el deseo de buscar un tercero alternativo, internalizar la actividad o interrumpirla. Cuando esto ocurre, es importante que la dirección rescinda las relaciones de manera eficiente, ya sea que las actividades se transfieran a otro tercero, se internalicen o se interrumpan...».

Automatice las evaluaciones de contratos y los procedimientosde bajapara reducir el riesgo de exposición de su organización tras la finalización del contrato.

Programa tareas para revisar los contratos y asegurarte de que se han cumplido todas las obligaciones. Emite evaluaciones de contratos personalizables para valorar el estado.
Aproveche las encuestas y los flujos de trabajo personalizables para generar informes sobre el acceso al sistema, la destrucción de datos, la gestión de accesos, el cumplimiento de todas las leyes pertinentes, los pagos finales y mucho más.
Almacene y gestione de forma centralizada documentos y certificaciones, como acuerdos de confidencialidad, acuerdos de nivel de servicio, declaraciones de trabajo y contratos. Aproveche el análisis automatizado de documentos integrado basado en el procesamiento del lenguaje natural y el análisis de aprendizaje automático de AWS para confirmar que se cumplen los criterios clave.
Tome medidas prácticas para reducir el riesgo de terceros con recomendaciones y orientación integradas para la corrección.
Visualice y aborde los requisitos de cumplimiento mediante la asignación automática de los resultados de las evaluaciones a cualquier normativa o marco regulatorio.

D. Gobernanza

«Las entidades bancarias disponen de diversas formas de estructurar sus procesos de gestión de riesgos de terceros. Algunas entidades bancarias distribuyen la responsabilidad de sus procesos de gestión de riesgos de terceros entre sus líneas de negocio. Otras entidades bancarias pueden centralizar los procesos en sus funciones de cumplimiento normativo, seguridad de la información, adquisiciones o gestión de riesgos. Independientemente de cómo estructure una entidad bancaria su proceso, las siguientes prácticas suelen tenerse en cuenta a lo largo del ciclo de vida de la gestión de riesgos de terceros, en función del riesgo y la complejidad».

Para abordar los requisitos de gobernanza del programa de gestión de riesgos de terceros, busque una plataforma TPRM que automatice los flujos de trabajo necesarios para incorporar a terceros e identificar, evaluar, gestionar, supervisar continuamente y remediar los riesgos relacionados con la seguridad, la privacidad, el cumplimiento normativo, las operaciones y las compras/cadena de suministro de terceros en todas las etapas del ciclo de vida del proveedor. Una solución integral que unifique la gestión de múltiples tipos de riesgos en beneficio de los equipos multifuncionales reducirá los costes, facilitará la presentación de informes de cumplimiento y reducirá el riesgo de que se produzcan lagunas en los controles.

Soluciones sectoriales

Requisitos de gestión de riesgos de terceros para empresas de servicios financieros

Requisitos pertinentes

Alinee su programa de TPRM con las crecientes regulaciones ESG

Cumplimiento de las directrices interinstitucionales sobre los requisitos relativos a las relaciones con terceros