Teléfono
(506) 8365-6377
(506) 2290-1434
Correo
riesgos@riesgoscr.com
Correo
instituto@riesgoscr.com

Notas

2025-12-11 14:37:38 Nota por: admin

LA FUNCIÓN DE GESTIÓN DE RIESGOS DE TERCEROS COMO NECESIDAD ESTRATÉGICA EN UN BANCO

La función de la gestión de riesgos de terceros en la banca (Third-Party Risk Management - TPRM), ya no es lo que era, una mera función de compras y cumplimiento. Se ha convertido, en los últimos cinco años, especialmente tras la pandemia, en un pilar fundamental de la gestión de riesgos y de la resiliencia operativa en la banca. La práctica de actividades de diligencia debida sobre terceras partes ha evolucionado significativamente debido a la digitalización de procesos, la creciente complejidad de las cadenas de suministro, el muy severo escrutinio regulatorio, y la sofisticación de las técnicas de gestión integral de riesgos.

Hace algún tiempo, la gestión del riesgo de terceros, si así se la podría denominar, se centraba principalmente en la sola administración operativa de procesos, críticos y no críticos, provistos por proveedores. Las responsabilidades sobre esa actividad implícitamente recaían en los usuarios interesados en los servicios provistos, o en las proveedurías de las entidades que los contrataban. Esos servicios eran tradicionalmente desde los de auditoría, calificación de riesgo, información sobre precios o consultoría, hasta los de provisión de limpieza, jardinería, guardianía y alimentación. En la actualidad, la gestión de due diligence sobre terceras partes ha tomado vida propia, constituyéndose en un pilar estratégico de la gestión de riesgo integral en la banca. En suma, la gestión del riesgo de terceros ha dejado de ser una tarea operativa, para devenir en una capacidad estratégica fundamental que determina la resiliencia, la solidez y la confianza en un banco.

Existe una gran profusión de material documental sobre TPRM. Cientos de papers mensuales aterrorizan a los gestores de riesgo, con cientos de lineamientos sobre el tema. En esta ocasión, pretendemos solo mencionar algunos aspectos que a veces se soslayan, o creemos que deben ser enfatizados en la gestión del riesgo de terceros.

Dos direcciones de acción

Sobre el tema de TPRM habría que establecer dos naturalezas de gestión: a) la referida a terceras partes propiamente dichas (proveedores, colaboradores, aliados estratégicos, socios, corresponsales) y; b) la relativa a la gestión interna de esas terceras partes que realiza una institución (procesos de gobernanza, relacionamiento, riesgos, estrategias, políticas, decisiones, contratación, operación, administración). De allí que el gestor TRMP (seguramente un oficial de riesgo operativo), deberá, entre sus múltiples tareas, calificar no sólo el riesgo de los “proveedores”, sino también el de la “gestión de proveedores”, entendidas estas instancias como objetos de análisis separados. En suma, la gestión deberá calificar a terceros como a primeros, en el contexto de la implementación de las funciones de identificación, medición, control y comunicación de la exposición a riesgos.

Criticidad

Uno de los aspectos estratégicos, en la gestión TPRM es, sin duda, la distinción entre “proveedores críticos” y “procesos críticos”, que se desarrollan en cada ámbito o sector del mapa de terceros de una entidad financiera. De acuerdo con esto, el gestor debería, prioritariamente, establecer los perfiles de estos conceptos claves, con el objetivo de definir sus estrategias y políticas de mitigación del riesgo. En referencia los estándares y mejores prácticas para una gestión adecuada del riesgo de terceras partes se necesita privilegiar dos cuerpos normativos: las propuestas del Comité de Basilea (BCBS), de julio de 2024, y las del Financial Estability Board (FSB), de 2023. Y también, no estaría demás, profundizar en los señalamientos que realiza el FDIC de EEUU, y la European Banking Authority (EBA).

Ciclo de vida

Otro tema relacionado a la gestión de terceros que abordan los estándares es el de “ciclo de vida” de un acuerdo de provisión de servicios externos. El ciclo describe todas las fases por las que se transita entre una entidad y un proveedor, desde la planificación hasta el cese o su salida. La gestión por ciclo, tiene como objetivo administrar de forma ordenada los riesgos, obligaciones y beneficios de la relación con el tercero, durante todo el tiempo que el servicio estuviera vigente. Son sus etapas: a) definición del servicio, evaluación de riesgos, planificación y análisis de la necesidad; b) diligencia debida y selección; c) contratación, derechos, obligaciones, niveles de servicio y responsabilidades; d) incorporación y supervisión continua; e) cese y planes de salida, gestión de la terminación planificada o imprevista (incluyendo planes de continuidad y transferencia o sustitución del servicio).

El propósito de una gestión TRPM por “ciclo de vida” implica ver la relación con el proveedor como un proceso completo que permite integrar la gestión de riesgos de terceros en base al cumplimiento de guías supervisoras y marcos que exigen controles formales antes, durante y a la finalización del acuerdo con terceros críticos. 

Acuerdos de servicio intragrupales

El CSBB (Comité de Supervisión Bancaria de Basilea) nos recuerda en sus Principios de gestión TPRM, que los bancos no deben tratar los acuerdos intragrupo de servicios “de terceros”, como si fueran menos arriesgados que otros. Estos exigirán realizar la debida diligencia para alinearse con la comprensión del banco sobre gobernanza y gestión de riesgos de ese servicio intragrupo, así como contar con un acuerdo formal y escrito adecuado con disposiciones y mecanismos de escalada apropiados. Esto implica también gestionar el riesgo de esas partes dentro del grupo de forma similar a lo que se haría con terceros externos, inclusive reconociendo que un posible rango de opciones de salida podría ser limitado.

Rendimiento

También el CSBB (Principio 7) señala que los bancos deberían, de forma continua, evaluar y supervisar el rendimiento de los acuerdos de servicios de terceros. Estas actividades de monitoreo abarcan todo aquello relacionado con el estado de rendimiento de los acuerdos (hallazgos materiales o de auditorías sobre el proveedor, deterioro de su situación financiera, brechas de seguridad, pérdida de datos, interrupciones, fallos de cumplimiento u otros indicadores de rendimiento). El seguimiento debe incluir métricas como indicadores clave de rendimiento y cuadros de puntuación o calificación continuos. Sin embargo, también, bajo los últimos requerimientos también es razonable la medición del costo-beneficio del proveedor o del servicio que suministra. Esta óptica es sensiblemente diferente a la del monitoreo de rendimiento tradicional.

Marco TRPM

Un marco robusto de la gestión TRPM, como mínimo, debe observar los siguientes perfiles, referidos específicamente al tercero proveedor:

  • Su ciberseguridad: pruebas de penetración, evaluaciones de madurez.
  • Su resiliencia operativa y continuidad de negocio y planes de recuperación ante desastres (DRP)
  • Protección de datos y seguridad de la cadena de suministro.
  • Gestión contractual: cláusulas específicas; derechos de auditoría inmediatos, requisitos de notificación de incidentes cláusulas de salida y la propiedad de los datos.
  • Subcontratación: prohibición y requerimiento de aprobación previa para cualquier subcontratación a cuartas partes.
  • Monitoreo continuo de actividad del proveedor: Indicadores Clave de Riesgo (KRIs), cantidad de incidentes de seguridad aceptables, tiempo de inactividad, incumplimientos de SLAs.
  • Inteligencia de amenazas generadas bajo el servicio: feeds de datos que monitorizan vulnerabilidades, filtraciones de datos o problemas financieros de los proveedores en tiempo real.
  • Cuestionarios dinámicos y autoevaluaciones de proveedores,
  • Auditorías in situ (remotas o presenciales) para los proveedores más críticos.
  • Planificación de salida y terminación (exit planning).
  • Estrategia de migración de datos, planes de transición del servicio, costes de salida e identificación de proveedores alternativos.
  • Gestión de riesgos específicos y emergentes a que está expuesto el proveedor.
  • Riesgo de datos administrados por el proveedor y privacidad.
  • Riesgo de concentración en un solo proveedor, o en un pequeño grupo de ellos.
  • Riesgo de ciberseguridad de la cadena de suministro (el banco es tan seguro como su proveedor más débil.
  • Riesgo ESG, sostenibilidad, y reputacional: los bancos son cada vez más responsables de las prácticas ESG (Ambientales, Sociales y de Gobernanza) de sus proveedores clave.

Última responsabilidad

Debe recordarse, a todo evento, que un banco sigue siendo el responsable último de las actividades de los terceros que contrata.