Cumplimiento de la Autoridad Monetaria de Singapur (MAS)

Contactar con un experto

Volver a todos los casos de uso

Directrices para la gestión del riesgo operativo: gestión de acuerdos con terceros

Como parte de su función como regulador prudencial, laAutoridad Monetaria de Singapur (MAS)publicó en 2016unas directrices sobre la externalización de acuerdos con terceros. La MAS amplió sus directrices sobre externalización en octubre de 2018 y, de nuevo, en agosto de 2022 con la publicación de un documento informativo titulado«Gestión del riesgo operativo: gestión de la externalización y los acuerdos con terceros».

Además de publicar requisitos detallados sobre cómo lograr una mejor supervisión y gobernanza de terceros, la MAS ha establecido una guía completa sobre cómo llevar a cabo la debida diligencia a lo largo del ciclo de vida de los acuerdos de externalización. La MAS incluye orientación específica para las instituciones financieras en las siguientes áreas del ciclo de vida de la gestión de riesgos de terceros:

  • Identificación y categorización de riesgos
  • Gobernanza y supervisión de la gestión
  • Diligencia debida (incluidas la incorporación y las revisiones periódicas)
  • Gestión y supervisión continuas de los riesgos

Requisitos pertinentes

  • Asegurarse de que los terceros en los que se confía para la prestación de servicios estén sujetos a una gobernanza adecuada, una gestión de riesgos y unos controles internos sólidos.

  • Aplicar una gestión de riesgos adecuada y controles internos sólidos para regular los acuerdos de externalización y no externalización.

  • Evaluar los riesgos derivados de los servicios de terceros e implementar controles acordes con la naturaleza y el alcance de los riesgos.

Cumplimiento de las directrices MAS TPRM

La tabla resumen que figura a continuación muestra las capacidades de laplataforma de gestión de riesgos de terceros de Prevalenten relación con determinados artículos del documento informativo «Gestión de riesgos operativos de MAS: gestión de la externalización y los acuerdos con terceros», capítulo 3.

NOTA: Este es solo un resumen de los artículos más relevantes y no debe considerarse una guía exhaustiva y definitiva. Para obtener una lista completa de los artículos, revise eldocumento completoen detalle y consulte a su auditor.

Controles MAS

Cómo ayudamos

A: Controles sobre los acuerdos de externalización

Esta sección sobre los controles de los acuerdos de externalización describe las prácticas en:

I) Gobernanza y supervisión de la gestión;
II) Diligencia debida (incorporación y revisiones periódicas); y
III) Gestión y supervisión continuas de los riesgos.

I) Gobernanza y supervisión de la gestión

Estructura y marco de gobernanza de la externalización

«Los bancos establecen una estructura y un marco de gobernanza adecuados para supervisar y prestar la atención necesaria a los riesgos derivados de los acuerdos de externalización, con el fin de garantizar que los riesgos asumidos se ajustan a las estrategias y la propensión al riesgo de los bancos.

«Al adoptar un enfoque basado en el riesgo, los bancos se aseguran de que su marco de aprobación facilite la evaluación por parte de la dirección de la importancia relativa y los riesgos de los acuerdos de externalización existentes y futuros. Los procesos que respaldan la evaluación y aprobación de los acuerdos de externalización son suficientemente sólidos y eficaces».

Establecimiento del nivel adecuado de apetito de riesgo de externalización

«Los bancos establecen una estrategia adecuada y una propensión al riesgo para definir la naturaleza y el alcance del riesgo que están dispuestos y son capaces de asumir en sus acuerdos de externalización».

Prevalent se asocia con usted para crear un programa integral de gestión de riesgos de terceros (TPRM) basado en las mejores prácticas probadas y una amplia experiencia en el mundo real.

Nuestrosexpertoscolaboran con su equipo en la definición e implementación de procesos y soluciones de TPRM; la selección de cuestionarios y marcos de evaluación de riesgos; y la optimización de su programa para abordar todo el ciclo de vida del riesgo de terceros, desde la contratación y la diligencia debida hasta la rescisión y la salida, de acuerdo con la propensión al riesgo de su organización.

Como parte de este proceso, Prevalent puede ayudarle a definir:

  • Funciones y responsabilidades claras (por ejemplo, RACI)
  • Inventarios de terceros
  • Puntuación de riesgos y umbrales basados en la tolerancia al riesgo de su organización.
  • Metodologías de evaluación y supervisión basadas en la criticidad de terceros.
  • Mapeo de cuarta parte
  • Fuentes de datos de supervisión continua (cibernética, empresarial, reputacional, financiera)
  • Indicadores clave de rendimiento (KPI) e indicadores clave de riesgo (KRI)
  • Políticas, normas, sistemas y procesos de gobierno para proteger los datos.
  • Requisitos de cumplimiento y presentación de informes contractuales en relación con los niveles de servicio.
  • Requisitos de respuesta ante incidentes
  • Informes sobre riesgos y partes interesadas internas
  • Estrategias de mitigación y remediación de riesgos

Informes de gestión sobre externalización

«Los bancos cuentan con procesos eficaces que permiten obtener una visión global de los riesgos derivados de la externalización. Se informa periódicamente a la dirección sobre los perfiles de riesgo de la externalización, las cuestiones importantes relacionadas con la externalización y los indicadores clave de riesgo, con el fin de facilitar la supervisión del panorama, las tendencias y las preocupaciones en materia de riesgo de externalización».

Prevalent ayuda a las instituciones financieras a revelar tendencias de riesgo, el estado de riesgo de terceros y excepciones al comportamiento habitual con información integrada de aprendizaje automático (ML) y vistas de informes personalizables basadas en el rol.

Además, Prevalent ayuda a medir de forma centralizadalos KPI y KRI de tercerospara reducir los riesgos derivados de las deficiencias en la supervisión de los proveedores, automatizando las evaluaciones de contratos y rendimiento y proporcionando un marco para medir el cumplimiento de los requisitos.

Con esta capacidad, las instituciones financieras pueden identificar rápidamente los casos atípicos que podrían justificar una investigación más profunda y mejorar la eficiencia en la reducción de riesgos al poner los datos adecuados en las manos adecuadas.

II) Diligencia debida (incorporación y revisiones periódicas)

Diligencia debida (incorporación y revisiones continuas)

«Los bancos especifican requisitos claros y proporcionan orientación exhaustiva sobre los procesos de diligencia debida y evaluación de riesgos para la incorporación de nuevos acuerdos de externalización y las revisiones periódicas de los ya existentes. Dichos procesos son proporcionales a los riesgos que implican, y se tienen debidamente en cuenta factores de riesgo tales como los acuerdos que implican el intercambio de datos de clientes. Los bancos establecen los controles y equilibrios necesarios para garantizar que se realiza un seguimiento adecuado de estos requisitos y procesos con el fin de garantizar su cumplimiento oportuno.

«Los bancos recurren a pymes relevantes para determinar si se han tenido debidamente en cuenta los elementos técnicos de los riesgos relacionados con un acuerdo de externalización».

Prevalent ofrece una evaluación de diligencia debida previa al contrato con una puntuación clara basada en ocho criterios para capturar, rastrear y cuantificarlos riesgos inherentespara todos los terceros. Los criterios incluyen:

  • Tipo de contenido necesario para validar los controles
  • Importancia crítica para el rendimiento y las operaciones empresariales
  • Ubicación(es) y consideraciones legales o normativas relacionadas
  • Nivel de dependencia de terceros (para evitar el riesgo de concentración)
  • Exposición a procesos operativos o de atención al cliente
  • Interacción con datos protegidos
  • Situación financiera y salud
  • Reputación

Mediante esta evaluación de riesgos inherentes, su equipo puede clasificar automáticamente a los proveedores, establecer los niveles adecuados de diligencia adicional y determinar el alcance de las evaluaciones continuas.

La lógica de clasificación por niveles basada en reglas permite categorizar a los proveedores utilizando una serie de consideraciones relacionadas con la interacción de datos, las finanzas, la normativa y la reputación.

Prevalent cuenta con una biblioteca de más de 750 plantillas prediseñadas para evaluaciones de riesgos de terceros. Las evaluaciones pueden realizarse en el momento de la renovación del contrato o con la frecuencia que se requiera (por ejemplo, trimestral o anualmente). Los cuestionarios de evaluación pueden tener un enfoque global o regional para abordar requisitos legales u operativos específicos.

Prevalent ofrece recomendaciones de corrección integradas basadas en los resultados de la evaluación de riesgos. Estas recomendaciones están respaldadas por funciones de gestión de flujos de trabajo y tareas para garantizar que los terceros aborden los riesgos de manera oportuna y satisfactoria.

III) Gestión y supervisión continuas de los riesgos

Marco de control para acuerdos de externalización

«Los bancos establecen un marco estructurado para la supervisión y el control continuos de los acuerdos de externalización, con la participación adecuada de partes independientes para proporcionar un desafío y una supervisión eficaces a las unidades de negocio que originan los acuerdos de externalización».

El Servicio de Validación de ControlesPrevalentes revisa las respuestas y la documentación de las evaluaciones de terceros en comparación con los protocolos de prueba establecidos para validar que se hayan implementado los controles indicados.

Los expertos de Prevalent revisan primero las respuestas a las evaluaciones, ya sean cuestionarios personalizados o estandarizados. A continuación, asignamos las respuestas a SIG, SCA, ISO, SOC II, AITECH y/u otros marcos de control. Por último, colaboramos con usted para desarrollar planes de corrección y realizar un seguimiento hasta su finalización. Con opciones remotas y presenciales disponibles, Prevalent le ofrece su experiencia para ayudarle a reducir el riesgo con sus recursos actuales.

Incorporar controles de ciberseguridad durante toda la vigencia del contrato.

Tenga en cuenta la ciberseguridad a lo largo de todo el ciclo de vida del contrato: desde la decisión de externalizar, la selección de proveedores, la adjudicación del contrato y la entrega del proveedor hasta la rescisión. Piense qué prácticas se pueden introducir para garantizar que esto se cumpla en todas las adquisiciones.

Prevalent realiza un seguimiento y análisis continuos delas amenazas externas a terceros. La solución supervisa Internet y la web oscura en busca de amenazas cibernéticas y vulnerabilidades, así como fuentes públicas y privadas de información sobre reputación, sanciones y finanzas.

Todos los datos de supervisión se correlacionan con los resultados de la evaluación y se centralizan en un registro de riesgos unificado para cada proveedor, lo que agiliza la revisión de riesgos, la presentación de informes y las iniciativas de respuesta. Los riesgos se pueden clasificar en una vista de mapa de calor con ejes de probabilidad e impacto.

Las fuentes de supervisión incluyen:

  • Más de 1500 foros criminales; miles de páginas onion; más de 80 foros de acceso especial a la web oscura; más de 65 fuentes de amenazas; y más de 50 sitios de pegado para credenciales filtradas, así como varias comunidades de seguridad, repositorios de código y bases de datos de vulnerabilidades que abarcan 550 000 empresas.
  • Una base de datos que contiene más de 10 años de historial de violaciones de datos de miles de empresas de todo el mundo.
  • 550 000 fuentes públicas y privadas de información sobre reputación, incluyendo actividades de fusiones y adquisiciones, noticias empresariales, noticias negativas, información normativa y legal, actualizaciones operativas y mucho más.
  • Una red global de 2 millones de empresas con 5 años de cambios organizativos y resultados financieros, incluyendo volumen de negocios, pérdidas y ganancias, fondos de los accionistas, etc.
  • 30 000 fuentes de noticias globales
  • Una base de datos que contiene más de 1,8 millones de perfiles de personas políticamente expuestas.
  • Listas de sanciones globales y más de 1000 listas de ejecución globales y documentos judiciales.
  • Rendimiento, desde el cumplimiento de los KPI y las medidas correctivas de los contratos hasta los SLA y los plazos incumplidos.

B: Controles sobre los acuerdos de no externalización (NOA)

Esta sección sobre los controles de las NOA describe las prácticas observadas en los bancos en las siguientes áreas dentro de un marco de gestión de riesgos de terceros:

I) Identificación y categorización de riesgos;
II) Gobernanza y supervisión de la gestión; y
III) Diligencia debida y supervisión continua.

I) Identificación y categorización de riesgos

Identificación y categorización de riesgos de dependencias de terceros

«Los bancos cuentan con un marco de gestión de riesgos y gobernanza de terceros para gestionar sus dependencias de terceros no subcontratados.
Los bancos identifican y elaboran un inventario exhaustivo de NOA, y los clasifican en función de su naturaleza y características de riesgo.

«Los bancos establecen criterios claros para evaluar el riesgo de sus NOA, con el fin de determinar los requisitos de gobernanza y diligencia debida a los que deben estar sujetos. Se presta la debida atención a factores de riesgo tales como los acuerdos que implican el intercambio de datos de clientes».

Prevalent se asocia con usted para crear un programa integral de gestión de riesgos de terceros (TPRM) basado en las mejores prácticas probadas y una amplia experiencia en el mundo real.

Nuestrosexpertoscolaboran con su equipo en la definición e implementación de procesos y soluciones de TPRM; la selección de cuestionarios y marcos de evaluación de riesgos; y la optimización de su programa para abordar todo el ciclo de vida del riesgo de terceros, desde la contratación y la diligencia debida hasta la rescisión y la salida, de acuerdo con la propensión al riesgo de su organización.

Como parte de este proceso, Prevalent puede ayudarle a definir:

  • Funciones y responsabilidades claras (por ejemplo, RACI)
  • Inventarios y categorización de terceros
  • Puntuación de riesgos y umbrales basados en la tolerancia al riesgo de su organización.
  • Metodologías de evaluación y supervisión basadas en la criticidad de terceros.
  • Mapeo de cuarta parte
  • Fuentes de datos de supervisión continua (cibernética, empresarial, reputacional, financiera)
  • Indicadores clave de rendimiento (KPI) e indicadores clave de riesgo (KRI)
  • Políticas, normas, sistemas y procesos de gobierno para proteger los datos.
  • Requisitos de cumplimiento y presentación de informes contractuales en relación con los niveles de servicio.
  • Requisitos de respuesta ante incidentes
  • Informes sobre riesgos y partes interesadas internas
  • Estrategias de mitigación y remediación de riesgos

Prevalent ofrece una evaluación de diligencia debida previa al contrato con una puntuación clara basada en ocho criterios para capturar, rastrear y cuantificarlos riesgos inherentespara todos los terceros. Los criterios incluyen:

  • Tipo de contenido necesario para validar los controles
  • Importancia crítica para el rendimiento y las operaciones empresariales
  • Ubicación(es) y consideraciones legales o normativas relacionadas
  • Nivel de dependencia de terceros (para evitar el riesgo de concentración)
  • Exposición a procesos operativos o de atención al cliente
  • Interacción con datos protegidos
  • Situación financiera y salud
  • Reputación

Mediante esta evaluación de riesgos inherentes, su equipo puede clasificar automáticamente a los proveedores, establecer los niveles adecuados de diligencia adicional y determinar el alcance de las evaluaciones continuas.

La lógica de clasificación por niveles basada en reglas permite categorizar a los proveedores utilizando una serie de consideraciones relacionadas con la interacción de datos, las finanzas, la normativa y la reputación.

Prevalent permite a las instituciones financieras crear un perfil completo de los proveedores que incluye la propiedad, los resultados financieros, las puntuaciones del IPC, las declaraciones sobre la esclavitud moderna, información sobre el sector y el negocio, y mapea las relaciones con terceros que pueden suponer un riesgo. Esto ayuda a reducir la complejidad en la gestión de terceros, proporcionando una única fuente de información veraz para la gestión de proveedores a lo largo de todo el ciclo de vida de la relación.

II) Gobernanza y supervisión de la gestión

Implementación de marcos de gestión de riesgos y gobernanza para las NOA.

«Los bancos cuentan con un comité de gobernanza para supervisar las NOA. Los bancos también establecen marcos de gobernanza y gestión de riesgos adecuados al riesgo, incluidos requisitos de diligencia debida, para gestionar de manera integral los riesgos derivados de las NOA».

Prevalent cuenta con una biblioteca de más de 750 plantillas prediseñadas para evaluaciones de riesgos de terceros, incluidas aquellas que se ajustan a los principales marcos de gobernanza, como [ISO](/compliance/iso-27001-27002-27018-27036-2-27701/. Los cuestionarios de evaluación pueden tener un enfoque global o regional para abordar requisitos legales, operativos u otros requisitos de diligencia debida específicos.

Los informes permiten a las instituciones financieras visualizar y abordar los requisitos de cumplimiento mediante la asignación automática de los resultados de las evaluaciones y los datos a los requisitos y marcos normativos.

Informes de gestión sobre riesgos de terceros

«Los bancos garantizan una supervisión adecuada de la gestión mediante la presentación de informes periódicos y oportunos sobre los perfiles de riesgo y el rendimiento de las NOA. Las cuestiones importantes, como las revisiones periódicas caducadas, los incidentes con proveedores, los incumplimientos de rendimiento y los incumplimientos de KRI, se comunican periódicamente al foro de gobierno pertinente. Una parte adecuada (por ejemplo, una unidad de 2LoD) proporciona los controles y equilibrios necesarios en el proceso de presentación de informes».

Además, Prevalent ayuda a medir de forma centralizadalos KPI y KRI de tercerospara reducir los riesgos derivados de las deficiencias en la supervisión de los proveedores, automatizando las evaluaciones de contratos y rendimiento y proporcionando un marco para medir el cumplimiento de los requisitos.

Con esta capacidad, las instituciones financieras pueden identificar rápidamente los casos atípicos que podrían justificar una investigación más profunda y mejorar la eficiencia en la reducción de riesgos al poner los datos adecuados en las manos adecuadas.

Colabora con tus proveedores.

Desarrollar planes de remediación con recomendaciones que los proveedores puedan seguir para reducir el riesgo residual. Proporcionar un foro para que los proveedores puedan subir pruebas y comunicarse sobre remediaciones específicas con un registro de auditoría seguro para realizar un seguimiento de las remediaciones hasta su finalización.

Gestión del cambio

«Los bancos cuentan con políticas y procedimientos sólidos de gestión del cambio para gestionar los riesgos derivados de las nuevas NOA. Existe una clara asignación de funciones y responsabilidades entre las tres líneas de defensa (LoD), y la implementación de los cambios está sujeta a controles y supervisión independientes».

La plataforma Prevalent incluye un motor de automatización y reglas que sugiere automáticamente acciones o ajusta las puntuaciones de riesgo basándose en los resultados de las evaluaciones y en fuentes de datos externas. Con esta capacidad, las instituciones financieras pueden crear automáticamente tareas basadas en los cambios continuos de terceros y asignarlas a los propietarios para que hagan un seguimiento de los problemas hasta su resolución. Esto ayuda a acelerar los plazos de reducción de riesgos.

III) Diligencia debida y supervisión continua

Diligencia debida y supervisión continua de los NOA y los riesgos de terceros.

«Los bancos implementan metodologías de evaluación de riesgos para la calificación de riesgos de los NOA que tienen debidamente en cuenta los factores de mayor riesgo, como el intercambio de información confidencial o la prestación de apoyo a funciones críticas.

«Los bancos establecen requisitos claros en materia de diligencia debida y supervisión independiente para la incorporación de nuevas NOA y la revisión de las ya existentes, que son proporcionales a los riesgos que conllevan. La diligencia debida tiene en cuenta a todas las partes interesadas relevantes de las NOA, incluidos los socios y los proveedores de servicios.

«Los bancos implementan procesos de control estructurados para la supervisión continua de los NOA a lo largo del ciclo de vida de las relaciones. Los acuerdos de alto riesgo requieren una supervisión continua más estricta.

«Los bancos implementan herramientas y mecanismos adecuados de supervisión de riesgos para gestionar los riesgos de terceros. Estas herramientas y mecanismos incluyen el establecimiento de una taxonomía de riesgos de terceros y la implementación de indicadores clave de riesgo (KRI) adecuados para facilitar una visión holística de los riesgos de terceros del banco».

Una vez completada la incorporación, los resultados de las evaluaciones de clasificación, perfilado y categorización determinan el nivel de diligencia debida continua que se requiere a lo largo del ciclo de vida de los terceros.

Para ello, Prevalent realiza un seguimiento y análisis continuos delas amenazas externas a terceros. La solución supervisa Internet y la web oscura en busca de amenazas cibernéticas y vulnerabilidades, así como fuentes públicas y privadas de información sobre reputación, sanciones y finanzas.

Todos los datos de supervisión se correlacionan con los resultados de la evaluación y se centralizan en un registro de riesgos unificado para cada proveedor, lo que agiliza la revisión de riesgos, la presentación de informes y las iniciativas de respuesta. Los riesgos se pueden clasificar en una vista de mapa de calor con ejes de probabilidad e impacto.

Las fuentes de supervisión incluyen:

  • Más de 1500 foros criminales; miles de páginas onion; más de 80 foros de acceso especial a la web oscura; más de 65 fuentes de amenazas; y más de 50 sitios de pegado para credenciales filtradas, así como varias comunidades de seguridad, repositorios de código y bases de datos de vulnerabilidades que abarcan 550 000 empresas.
  • Una base de datos que contiene más de 10 años de historial de violaciones de datos de miles de empresas de todo el mundo.
  • 550 000 fuentes públicas y privadas de información sobre reputación, incluyendo actividades de fusiones y adquisiciones, noticias empresariales, noticias negativas, información normativa y legal, actualizaciones operativas y mucho más.
  • Una red global de 2 millones de empresas con 5 años de cambios organizativos y resultados financieros, incluyendo volumen de negocios, pérdidas y ganancias, fondos de los accionistas, etc.
  • 30 000 fuentes de noticias globales
  • Una base de datos que contiene más de 1,8 millones de perfiles de personas políticamente expuestas.
  • Listas de sanciones globales y más de 1000 listas de ejecución globales y documentos judiciales.
  • Rendimiento, desde el cumplimiento de los KPI y las medidas correctivas de los contratos hasta los SLA y los plazos incumplidos.
Recursos adicionales

Libro Blanco

Lista de verificación de cumplimiento de terceros de la Autoridad Monetaria de Singapur (MAS)

Blog

APRA CPS 234: Mejores prácticas para cumplir los requisitos de gestión de riesgos de terceros

Blog

Cumplimiento de los requisitos PRA SS2/21 para la gestión de riesgos de terceros

Guía

Alinee su programa de TPRM con 14 estándares del sector

Ver más recursos

Potenciar. Automatizar. Elevar. Mitratech

©2026 Mitratech, Inc. Todos los derechos reservados.

Potenciar. Automatizar. Elevar. Mitratech

©2026 Mitratech, Inc. Todos los derechos reservados.