Autoridad de Regulación Prudencial del Banco de Inglaterra Cumplimiento SS2/21

2 Definiciones y ámbito de aplicación

2.8«De acuerdo con las expectativas del capítulo 4 de esta SS, las empresas pueden implementar una política integral y única de gestión de riesgos de terceros que cubra los acuerdos de externalización y no externalización con terceros. Alternativamente, pueden tener políticas separadas para cada una de esas áreas respectivas, siempre que estén alineadas, sean coherentes, eficaces y se basen adecuadamente en el riesgo».

La plataforma de gestión de riesgos de terceros Prevalentsimplifica la gestión de terceros, lo que permite a las organizaciones unificar y automatizar las tareas críticas necesarias para identificar, evaluar, gestionar, supervisar continuamente y remediar los riesgos de seguridad, privacidad, cumplimiento y operativos de terceros en todas las etapas del ciclo de vida del proveedor. La solución ofrece:

• Perfilado, clasificación por niveles y puntuación del riesgo inherente y residual basada en criterios exhaustivos para identificar terceros externos importantes y no importantes.
• Más de 100 plantillas estandarizadas y evaluaciones de riesgos personalizadas adaptadas a terceros materiales y no materiales con gestión integrada de flujos de trabajo, tareas y pruebas.
• Gestión de la remediación con orientación integrada para actuar sobre los riesgos identificados derivados de la subcontratación de terceros.
• Informes de cumplimiento y riesgos por marco o normativa para simplificar el proceso de auditoría.

La plataforma Prevalent incluye una biblioteca con más de 100 plantillas de cuestionarios que abordan una gran variedad de marcos basados en la seguridad de las TIC, entre los que se incluyen Cyber Essentials, ISO 27001, NIST 800-53, GDPR y muchos otros.

3 Proporcionalidad

3.6«En función de su nivel de control e influencia con respecto a los acuerdos de externalización intragrupo, una empresa puede, por ejemplo:

• ajustar su diligencia debida con respecto a los proveedores, aunque las empresas deben seguir evaluando cuidadosamente si un posible proveedor de servicios que forma parte de su grupo tiene la capacidad, los recursos y la estructura organizativa adecuados para respaldar el desempeño de la función externalizada o el servicio de terceros;
• …»

La plataforma Prevalent TPRM permite a los equipos de seguridad y gestión de riesgos clasificar automáticamente a los proveedores según sus puntuaciones de riesgo inherentes. Los resultados pueden utilizarse para establecer los niveles adecuados de diligencia debida adicional y determinar el alcance de las evaluaciones en curso.

3.7«Cuando proceda, las empresas podrán aprovechar el cumplimiento de los requisitos existentes en otros ámbitos de la regulación para ayudar a cumplir sus obligaciones reglamentarias en relación con sus acuerdos de externalización intragrupo».

• ajustar su diligencia debida con respecto a los proveedores, aunque las empresas deben seguir evaluando cuidadosamente si un posible proveedor de servicios que forma parte de su grupo tiene la capacidad, los recursos y la estructura organizativa adecuados para respaldar el desempeño de la función externalizada o el servicio de terceros;
• …»

La plataforma Prevalent mapea automáticamente la información recopilada a partir de evaluaciones basadas en controles con marcos normativos como ISO 27001, RGPD y muchos otros. Esto le permite visualizar y abordar rápidamente los requisitos de cumplimiento importantes y simplificar los procesos de auditoría.

Los clientes también pueden optar por utilizar el Marco de Cumplimiento Prevalente (PCF), una evaluación única y exhaustiva que permite a los equipos de seguridad y gestión de riesgos mapear las respuestas a varios requisitos normativos.

5 Fase previa a la externalización

5.8 «Las empresas son responsables de evaluar la importancia relativa de sus acuerdos de externalización y con terceros. La importancia relativa puede variar a lo largo de la duración de un acuerdo y, por lo tanto, debe (re)evaluarse:

• antes de firmar el acuerdo por escrito;
• a intervalos adecuados a partir de entonces, por ejemplo, durante los períodos de revisión programados;
• cuando una empresa tiene previsto ampliar el uso del servicio o su dependencia del proveedor del servicio; y/o
• si se produce un cambio organizativo significativo en el proveedor de servicios o en un proveedor de servicios subcontratado importante que pueda modificar de forma significativa la naturaleza, la escala y la complejidad de los riesgos inherentes al acuerdo de subcontratación, incluido un cambio significativo en la propiedad o la situación financiera del proveedor de servicios.

La plataforma Prevalent permite a las organizaciones evaluar, supervisar y remediar los riesgos en todas las etapas del ciclo de vida de los terceros. Entre sus capacidades clave se incluyen:

• Gestión de RFx, que permite a las organizaciones automatizar y añadir inteligencia de riesgos a las decisiones de selección de proveedores.
• Gestión del ciclo de vida de los contratos, automatización para mejorar la experiencia de contratación de proveedores y supervisión continua de los acuerdos de nivel de servicio (SLA).
• La mayor biblioteca de evaluaciones de riesgos estandarizadas y personalizadas con flujo de trabajo, tareas y gestión de pruebas integrados para evaluaciones de riesgos periódicas.
• Supervisión nativa de riesgos cibernéticos, de violaciones de seguridad, empresariales, reputacionales y financieros para evaluar continuamente los riesgos de los proveedores entre evaluaciones anuales y correlacionar los hallazgos con los resultados de las evaluaciones para determinar si es necesario realizar una investigación más profunda.

5.10«Las empresas deben desarrollar sus propios procesos para evaluar la importancia relativa como parte de su política de externalización o de gestión de riesgos de terceros (véase el capítulo 4)».

La plataforma Prevalent automatiza la identificación, evaluación, análisis, supervisión continua y corrección de los riesgos de terceros en todas las etapas del ciclo de vida del proveedor, desde la selección hasta la salida. La plataforma incluye una amplia biblioteca de plantillas de evaluación, entre las que se incluyen aquellas destinadas a determinar la importancia relativa de un acuerdo con terceros y los riesgos que conlleva.

5.11«De conformidad con la definición de «externalización significativa» del Reglamento de la PRA y, cuando proceda, con los criterios de las Directrices sobre externalización de la ABE, una empresa deberá considerar, en general, que una externalización o un acuerdo con un tercero es significativo cuando un defecto o fallo en su ejecución pueda perjudicar de manera significativa la estabilidad financiera del Reino Unido o de las empresas».

• capacidad para cumplir las condiciones mínimas;
• cumplimiento de las Normas Fundamentales;
• los requisitos establecidos en la «legislación pertinente» y en el Reglamento de la PRA;36
• seguridad y solidez, incluyendo su:
  resiliencia financiera, es decir, activos, capital, financiación y liquidez; o resiliencia operativa, es decir, su capacidad para seguir prestando servicios empresariales importantes;
• Solo para las aseguradoras: la capacidad de proporcionar un grado adecuado de protección a quienes son o pueden llegar a ser tomadores de seguros, de conformidad con los objetivos legales de la PRA; y
  el requisito de no socavar el «servicio continuo y satisfactorio a los tomadores de seguros», de conformidad con las Condiciones que rigen la actividad 7.2.
• OCIR y, si procede, resolubilidad».

La plataforma Prevalent TPRM automatiza la evaluación, la supervisión continua, el análisis y la corrección de la resiliencia y la continuidad empresarial de terceros, tanto subcontratados como no subcontratados, al tiempo que asigna automáticamente los resultados a los marcos de control NIST, ISO y otros para demostrar el cumplimiento normativo.

Para complementar las evaluaciones de resiliencia empresarial y validar los resultados, Prevalent:

• Automatiza la supervisión cibernética continua para predecir posibles impactos comerciales de terceros.
• Accede a información cualitativa procedente de más de 550 000 fuentes públicas y privadas de información sobre reputación que podrían indicar inestabilidad por parte de los proveedores.
• Accede a información financiera de una red global de 2 millones de empresas para identificar la salud financiera de los proveedores o los problemas operativos.

5.12«La PRA también espera que las empresas clasifiquen un acuerdo de externalización como significativo si el servicio externalizado implica:

• toda la «actividad regulada», por ejemplo, la gestión de carteras; o
• «control interno» o «función clave», a menos que la empresa esté convencida de que un defecto o fallo en el desempeño no afectaría negativamente a la función pertinente».

Prevalent permite a las organizaciones clasificar a terceros en función de múltiples criterios, entre los que se incluyen:

• Tipo de contenido necesario para validar los controles
• Importancia crítica para el rendimiento empresarial
• Ubicación(es) y consideraciones legales o normativas relacionadas
• Nivel de dependencia de terceros
• Exposición a procesos operativos o de atención al cliente
• Interacción con datos protegidos
• Situación financiera e implicaciones
• Reputación

Un proceso eficaz de clasificación y categorización permite a las organizaciones evaluar a los terceros en función de su importancia para las operaciones comerciales, al tiempo que sirve de base para futuras iniciativas de diligencia debida.

5.12«La PRA también espera que las empresas clasifiquen un acuerdo de externalización como significativo si el servicio externalizado implica:

• toda la «actividad regulada», por ejemplo, la gestión de carteras; o
• «control interno» o «función clave», a menos que la empresa esté convencida de que un defecto o fallo en el desempeño no afectaría negativamente a la función pertinente».

Prevalent permite a las organizaciones clasificar a terceros en función de múltiples criterios, entre los que se incluyen:

• Tipo de contenido necesario para validar los controles
• Importancia crítica para el rendimiento empresarial
• Ubicación(es) y consideraciones legales o normativas relacionadas
• Nivel de dependencia de terceros
• Exposición a procesos operativos o de atención al cliente
• Interacción con datos protegidos
• Situación financiera e implicaciones
• Reputación

Un proceso eficaz de clasificación y categorización permite a las organizaciones evaluar a los terceros en función de su importancia para las operaciones comerciales, al tiempo que sirve de base para futuras iniciativas de diligencia debida.

5.13 «La PRA espera que las empresas tengan en cuenta todos los criterios aplicables del cuadro 5 que figura a continuación, tanto individualmente como en conjunto, al evaluar la importancia relativa de un acuerdo de externalización o con terceros que no esté contemplado en los apartados 5.8 y 5.9. Aunque, en la práctica, muchos acuerdos importantes de externalización y con terceros implican productos o servicios de TIC (por ejemplo, la nube), la presencia de un determinado producto o servicio de TIC no convierte automáticamente en importante un acuerdo de externalización.

Recreado a partir de la tabla 5:

Conexión directa con el desempeño de una actividad regulada.

Tamaño y complejidad de las áreas o funciones empresariales pertinentes.

El impacto potencial de una interrupción, fallo o rendimiento inadecuado en la empresa:

• continuidad del negocio, resiliencia operativa y riesgo operativo, incluyendo: riesgo de conducta; riesgo de TIC; riesgo legal; y riesgo reputacional.
• capacidad para: cumplir con los requisitos legales y reglamentarios; realizar auditorías adecuadas de la función, el servicio o el proveedor de servicios pertinentes; e identificar, supervisar y gestionar todos los riesgos.
• obligaciones en virtud del Reglamento de la PRA;
  la protección de datos y el impacto potencial de una violación de la confidencialidad o del incumplimiento de la obligación de garantizar la disponibilidad e integridad de los datos de la institución o entidad de pago y sus clientes, incluyendo, entre otros, el RGPD y la Ley de Protección de Datos de 2018.
• contrapartes, clientes o asegurados.
• intervención temprana, planificación de la recuperación y resolución, OCIR y resolubilidad.

La capacidad de la empresa para ampliar el servicio externalizado.

Capacidad para sustituir al proveedor de servicios o volver a internalizar el servicio externalizado, incluyendo los costes estimados, el impacto operativo, los riesgos y el plazo de salida en escenarios con y sin estrés.

La plataforma Prevalent incluye una evaluación exhaustiva de la resiliencia empresarial basada en las prácticas estándar de la norma ISO 22301. Esto permite a las organizaciones:

• Clasificar a los proveedores según su perfil de riesgo y su importancia para el negocio.
• Esbozar los objetivos de punto de recuperación (RPO) y los objetivos de tiempo de recuperación (RTO).
• Centralizar el inventario del sistema, las evaluaciones de riesgos, los gráficos RACI y los perfiles de empresas externas.
• Garantizar una comunicación fluida con los proveedores durante las interrupciones del negocio.

5.18«La PRA espera que las empresas realicen las debidas diligencias sobre el posible proveedor de servicios antes de celebrar un acuerdo de externalización y que identifiquen proveedores alternativos o de respaldo adecuados, cuando sea posible. Si no se dispone de proveedores alternativos o de respaldo para un acuerdo de externalización importante, las empresas deben considerar alternativas de continuidad del negocio, planes de contingencia y acuerdos de recuperación ante desastres para garantizar que puedan seguir prestando los servicios importantes pertinentes dentro de sus tolerancias de impacto en caso de que se produzca una interrupción importante en el proveedor de servicios elegido (véase el capítulo 10)».

PrevalentRFx Essentialscentraliza y automatiza la distribución, comparación y gestión de solicitudes de propuestas (RFP) y solicitudes de información (RFI). RFx Essentials facilita a los equipos de compras no solo la selección de soluciones y proveedores que cumplan con los requisitos de funcionalidad y riesgo de la organización, sino también dar un primer paso fundamental en la gestión del riesgo a lo largo del ciclo de vida de los terceros.
Antes de seleccionar al proveedor, Prevalent permite a los equipos comparar y supervisar los datos demográficos de los proveedores, las tecnologías de terceros, las puntuaciones ESG, la información reciente sobre el negocio y la reputación, el historial de violaciones de datos y los resultados financieros.

Las organizaciones también pueden aprovechar lasredes PrevalentVendor Intelligence Networks, que son bibliotecas bajo demanda con miles de informes sobre riesgos de proveedores basados en la seguridad, la privacidad, la resiliencia empresarial y los riesgos operativos. Las redes Prevalent Vendor Networks se actualizan continuamente y se alimentan con pruebas que respaldan la información.

5.19«En el caso de la externalización de materiales, la PRA espera que la diligencia debida de las empresas tenga en cuenta lo siguiente de los posibles proveedores:

• modelo de negocio, complejidad, situación financiera, naturaleza, estructura de propiedad y escala;
• capacidad, experiencia y reputación;
• recursos financieros, humanos y tecnológicos;
• Controles y seguridad de las TIC; y
• proveedores de servicios subcontratados, si los hubiera, que participarán en la prestación de servicios empresariales importantes o partes de los mismos».

5.20«La diligencia debida también debe considerar si los posibles proveedores de servicios:

• tener las autorizaciones o registros necesarios para prestar el servicio;
• Cumplir con el RGPD, la Ley de Protección de Datos y otros requisitos legales y reglamentarios aplicables en materia de protección de datos.
• puede demostrar el cumplimiento certificado de las normas reconocidas y pertinentes del sector;
• puede proporcionar, cuando proceda y previa solicitud, los certificados y la documentación pertinentes (por ejemplo, diccionarios de datos); y
• tener la capacidad y los medios para prestar el servicio que la empresa necesita de conformidad con los requisitos reglamentarios del Reino Unido (incluso en caso de un aumento repentino de la demanda del servicio en cuestión, por ejemplo, como consecuencia del paso al teletrabajo durante una pandemia). Un historial «general» de resultados anteriores puede no ser por sí solo una prueba suficiente».

La plataforma Prevalent incluye más de 100 plantillas de evaluación predefinidas, entre las que se incluyen cuestionarios estandarizados de evaluación de riesgos de proveedores de seguridad de la información, así como resiliencia empresarial, RGPD, FCA, ISO 27001, esclavitud moderna, lucha contra el soborno, salud y seguridad, rendimiento financiero, gestión y ética, y mucho más.

PrevalentVendor Threat Monitorrealiza un seguimiento y análisis continuos de las amenazas externas a terceros. La solución supervisa Internet y la web oscura en busca de amenazas cibernéticas y vulnerabilidades, así como fuentes públicas y privadas de información sobre reputación, sanciones e información financiera.

Prevalent gestiona perfiles centralizados de proveedores que unifican datos demográficos, declaraciones sobre la esclavitud moderna, puntuaciones ESG y cuartas partes mapeadas.

Prevalent integra y correlaciona la supervisión continua y la información de los perfiles con los resultados de las evaluaciones para proporcionar una ubicación centralizada desde la que visualizar los riesgos y actuar en consecuencia.

5.21«De conformidad con el Control de riesgos 3.4(2) y la Gestión de riesgos 3.1, las empresas deben evaluar, de manera proporcionada, los riesgos potenciales de todos los acuerdos con terceros, incluidos los acuerdos de externalización, independientemente de su importancia relativa. Como parte de la evaluación de riesgos, la PRA espera que las empresas tengan en cuenta lo siguiente:

• riesgos operativos basados en un análisis de escenarios graves pero plausibles, por ejemplo, una violación o interrupción que afecte a la confidencialidad e integridad de datos sensibles y/o a la disponibilidad de la prestación del servicio (véase el capítulo 10); y
• riesgos financieros, incluida la posible necesidad de que la empresa preste apoyo financiero a un proveedor de servicios externalizados o subcontratados que se encuentre en dificultades o se haga cargo de su negocio, incluso como consecuencia de una recesión económica (riesgo de «intervención»).

ElservicioPrevalentThird-Party Incident Response Servicepermite a los equipos identificar y mitigar rápidamente el impacto de las infracciones de terceros proveedores mediante la gestión centralizada de los proveedores, la realización de evaluaciones de incidentes, la puntuación de los riesgos identificados y el acceso a directrices de corrección.

Los clientes también pueden acceder a una base de datos que contiene más de 10 años de historial de violaciones de datos de miles de empresas de todo el mundo. La base de datos incluye los tipos y cantidades de datos robados, cuestiones de cumplimiento y normativas, y notificaciones en tiempo real de violaciones de datos de proveedores. En combinación con la supervisión cibernética continua, proporciona a las organizaciones una visión completa de los riesgos externos de seguridad de la información que pueden afectar a sus operaciones.

Prevalent recurre a la información financiera de una red global de 2 millones de empresas. Esto incluye 5 años de cambios organizativos y resultados financieros, como volumen de negocios, pérdidas y ganancias, fondos de los accionistas y otros datos útiles para evaluar la salud y la viabilidad de la empresa.

5.22«La PRA espera que las empresas lleven a cabo evaluaciones de riesgos en las circunstancias mencionadas en el apartado 5.6 y también si consideran que puede haberse producido un cambio significativo en los riesgos de un acuerdo de externalización debido, por ejemplo, a un incumplimiento grave o continuado del acuerdo o a un riesgo cristalizado».

Prevalent realiza un seguimiento y análisis continuos de las amenazas externas a terceros. La solución supervisa Internet y la web oscura en busca de amenazas cibernéticas y vulnerabilidades, así como fuentes públicas y privadas de información sobre reputación, sanciones y finanzas.

La plataforma ofrece acceso a una base de datos que contiene más de 10 años de historial de violaciones de datos de miles de empresas de todo el mundo. La base de datos incluye los tipos y cantidades de datos robados, cuestiones de cumplimiento y normativas, y notificaciones en tiempo real de violaciones de datos de proveedores.

Estas capacidades ayudan a cubrir las lagunas entre las evaluaciones de riesgos de terceros periódicas, y los resultados desencadenan acciones automatizadas, como evaluaciones adicionales y medidas correctivas.

5.23«La evaluación de riesgos de una empresa debe sopesar los riesgos que el acuerdo de externalización puede crear o aumentar frente a los riesgos que puede reducir o que permiten a la empresa gestionar de forma más eficaz (por ejemplo, la resiliencia de una empresa ante las perturbaciones). La evaluación también debe tener en cuenta las medidas de mitigación de riesgos existentes o previstas, por ejemplo, los procedimientos y la formación del personal».

La plataforma Prevalent incluye recomendaciones de corrección integradas para acelerar la mitigación de riesgos con terceros. Las organizaciones pueden utilizar la plataforma para comunicarse con los proveedores y coordinar las medidas de corrección, así como para capturar y auditar conversaciones; registrar fechas estimadas de finalización; aceptar o rechazar respuestas de evaluaciones individuales; asignar tareas en función de los riesgos, los documentos o las entidades; y relacionar la documentación y las pruebas con los riesgos.

5.24«La PRA espera que las empresas y los grupos (re)evalúen periódicamente y tomen medidas razonables para gestionar su dependencia general de terceros; y
los riesgos de concentración o la dependencia de un proveedor en la empresa o el grupo, debido a:

• múltiples acuerdos con proveedores de servicios idénticos o estrechamente relacionados;
• dependencias de terceros/cadena de suministro, por ejemplo, cuando varios proveedores de servicios que, de otro modo, no estarían conectados entre sí dependen del mismo subcontratista para la prestación de sus servicios;
• acuerdos con proveedores de servicios que son difíciles o imposibles de sustituir; y/o
• concentración de la externalización y otras dependencias de terceros en una ubicación geográfica cercana, como una jurisdicción. Este tipo de concentración puede darse incluso si una empresa utiliza múltiples proveedores de servicios externos no relacionados entre sí, por ejemplo, un centro de externalización de procesos empresariales o de deslocalización.

Prevalent mitiga los riesgos de concentración identificando las relaciones con terceros mediante una evaluación de identificación nativa o mediante el escaneo pasivo de la infraestructura pública del tercero. El mapa de relaciones resultante muestra las rutas de información y las dependencias que podrían abrir vías de acceso a un entorno.

Los proveedores descubiertos a través de este proceso son supervisados para identificar riesgos financieros, ESG, cibernéticos, comerciales y de violación de datos, así como para la detección de sanciones/PEP.

6 Acuerdos de externalización

6.3 «Las empresas deben asegurarse de que los acuerdos escritos para los arreglos de externalización no materiales incluyan garantías contractuales adecuadas para gestionar y supervisar los riesgos pertinentes. Además, independientemente de su importancia, las empresas deben asegurarse de que los acuerdos de externalización no obstaculicen ni limiten la capacidad de la PRA para supervisar eficazmente la empresa o la actividad, función o servicio externalizado».

PrevalentContract Essentialscentraliza la distribución, discusión, retención y revisión de los contratos con proveedores. También incluye funciones de flujo de trabajo para automatizar el ciclo de vida de los contratos, desde la incorporación hasta la salida.

Con Contract Essentials, las organizaciones pueden realizar un seguimiento centralizado de todos los contratos y atributos contractuales que pueden afectar a los niveles de servicio, aplicando de forma eficaz las garantías contractuales.

6.3 «Las empresas deben asegurarse de que los acuerdos escritos para los arreglos de externalización no materiales incluyan garantías contractuales adecuadas para gestionar y supervisar los riesgos pertinentes. Además, independientemente de su importancia, las empresas deben asegurarse de que los acuerdos de externalización no obstaculicen ni limiten la capacidad de la PRA para supervisar eficazmente la empresa o la actividad, función o servicio externalizado».

PrevalentContract Essentialscentraliza la distribución, discusión, retención y revisión de los contratos con proveedores. También incluye funciones de flujo de trabajo para automatizar el ciclo de vida de los contratos, desde la incorporación hasta la salida.

Con Contract Essentials, las organizaciones pueden realizar un seguimiento centralizado de todos los contratos y atributos contractuales que pueden afectar a los niveles de servicio, aplicando de forma eficaz las garantías contractuales.

7 Seguridad de los datos

Prevalent ofrece una plataforma única y colaborativa para realizar evaluaciones de privacidad y mitigar los riesgos de privacidad tanto internos como de terceros. Las principales funciones de evaluación de la seguridad y la privacidad de los datos incluyen:

• Evaluaciones programadas y mapeo de relaciones para revelar dónde existen los datos personales, dónde se comparten y quién tiene acceso a ellos, todo ello resumido en un registro de riesgos que destaca las exposiciones críticas.
• Evaluaciones del impacto en la privacidad para descubrir datos empresariales en riesgo e información de identificación personal (PII), lo que le permite analizar el origen, la naturaleza y la gravedad del riesgo y obtener orientación sobre cómo solucionarlo.
• Evaluaciones de proveedores en relación con el RGPD y otras normativas de privacidad a través del Marco de Cumplimiento Prevalente (PCF), lo que le permite revelar posibles puntos críticos mediante la asignación de los riesgos identificados a controles específicos.
• Mapeo de riesgos y respuestas del RGPD a los controles: le proporcionamos índices de cumplimiento porcentuales e informes específicos para cada parte interesada.
• Una base de datos que contiene más de 10 años de historial de violaciones de datos de miles de empresas de todo el mundo. Incluye tipos y cantidades de datos robados; cuestiones de cumplimiento y normativas; y notificaciones en tiempo real de violaciones de datos de proveedores.
• Centralización de la incorporación, distribución, discusión, retención y revisión de los contratos con los proveedores. Esto garantiza que las disposiciones de protección de datos se apliquen desde el inicio de la relación.

8 Derechos de acceso, auditoría e información

8.7«Las empresas pueden utilizar diversos métodos de auditoría y otros métodos de recopilación de información, entre los que se incluyen:

• auditorías externas, como certificados y otros informes independientes proporcionados por los proveedores de servicios; y
• auditorías in situ, ya sea de forma individual o conjuntamente con otras empresas (auditorías agrupadas).

El Servicio de Validación de ControlesPrevalentes revisa las respuestas y la documentación de las evaluaciones de terceros en comparación con los protocolos de prueba establecidos para validar que se hayan implementado los controles indicados.

Los expertos más destacados revisan primero las respuestas de la evaluación, ya sea de cuestionarios personalizados o estandarizados. A continuación, asignamos las respuestas a SIG, SCA, ISO, SOC II,

AITECH y/u otros marcos de control. Por último, trabajamos con usted para desarrollar planes de remediación y hacer un seguimiento hasta su finalización. Con opciones remotas y presenciales disponibles, Prevalent ofrece la experiencia necesaria para ayudarle a reducir el riesgo con sus recursos existentes.

8.9«Los certificados e informes proporcionados por los proveedores de servicios pueden ayudar a las empresas a obtener garantías sobre la eficacia de los controles de dichos proveedores. Sin embargo, en los acuerdos de externalización importantes, la PRA espera que las empresas:

• evaluar la idoneidad de la información contenida en dichos certificados e informes, y no dar por sentado que su mera existencia o presentación constituye prueba suficiente de que el servicio se presta de conformidad con sus obligaciones legales, reglamentarias y de gestión de riesgos; y
• Asegúrese de que los certificados y los informes de auditoría cumplan con las expectativas establecidas en la Tabla 8.

Prevalent centraliza las certificaciones, los acuerdos, los contratos y las pruebas justificativas con una gestión integrada de tareas y aceptaciones, además de funciones de carga obligatorias.

9 Subcontratación

Prevalent identifica las relaciones de cuarta parte y enésima parte mediante una evaluación de identificación nativa o mediante el escaneo pasivo de la infraestructura pública de la tercera parte. El mapa de relaciones resultante muestra las rutas de información y las dependencias que podrían abrir vías de acceso a un entorno.

Los proveedores descubiertos a través de este proceso son supervisados para identificar riesgos financieros, ESG, cibernéticos, comerciales y de violación de datos, así como para la detección de sanciones/PEP.

10 Continuidad del negocio y planes de salida

10.1«Para cada acuerdo de externalización de materiales, la PRA espera que las empresas desarrollen, mantengan y prueben un plan de continuidad del negocio, así como una estrategia de salida documentada, que debe abarcar y diferenciar entre las situaciones en las que una empresa rescinde un acuerdo de externalización:

• en circunstancias de tensión (por ejemplo, tras el fracaso o la insolvencia del proveedor de servicios (salida en situación de tensión)); y
• mediante una salida planificada y gestionada por motivos comerciales, de rendimiento o estratégicos (salida no forzada)».

La plataforma de gestión de riesgos de terceros Prevalent automatiza la evaluación, la supervisión continua, el análisis y la corrección de la resiliencia y la continuidad del negocio de terceros, al tiempo que asigna automáticamente los resultados a NIST, ISO y otros marcos de control.
Para complementar las evaluaciones de resiliencia empresarial y validar los resultados, Prevalent:

• Automatiza la supervisión cibernética continua para predecir posibles impactos comerciales de terceros.
• Accede a información cualitativa procedente de más de 550 000 fuentes públicas y privadas de información sobre reputación que podrían indicar inestabilidad por parte de los proveedores.
• Accede a información financiera de una red global de 2 millones de empresas para identificar la salud financiera de los proveedores o los problemas operativos.

Este enfoque proactivo permite a las organizaciones minimizar el impacto de las interrupciones causadas por terceros y mantenerse al día con los requisitos de cumplimiento.

10.3«Las empresas deben implementar y exigir a los proveedores de servicios en acuerdos de externalización importantes que implementen planes de continuidad del negocio adecuados para anticiparse, resistir, responder y recuperarse de interrupciones operativas graves pero plausibles».

10.9«De conformidad con la Norma Fundamental 7, en caso de interrupción o emergencia (incluso en un proveedor de servicios externo o subcontratado), las empresas deben asegurarse de que cuentan con medidas eficaces de comunicación de crisis. De este modo, todas las partes interesadas internas y externas pertinentes, incluidos el Banco, la PRA, la FCA, otros reguladores internacionales y, si procede, los propios proveedores de servicios, serán informados de manera oportuna y adecuada».

La plataforma Prevalent incluye una evaluación exhaustiva de la resiliencia empresarial basada en las prácticas estándar de la norma ISO 22301, que permite a las organizaciones:

• Clasificar a los proveedores según su perfil de riesgo y su importancia para el negocio.
• Esbozar los objetivos de punto de recuperación (RPO) y los objetivos de tiempo de recuperación (RTO).
• Centralizar el inventario del sistema, las evaluaciones de riesgos, los diagramas RACI y los terceros.
• Garantizar una comunicación fluida con los proveedores durante las interrupciones del negocio.

Prevalent ofrecerecursos gratuitospara que las organizaciones los utilicen a medida que desarrollan o perfeccionan sus programas de continuidad del negocio de terceros.