Actualizaciones de la SBS: requerimientos para la Gestión de Terceros

Este marco tiene como objetivo principal asegurar que las instituciones financieras cuenten con procesos adecuados para seleccionar, supervisar y monitorear a los proveedores de servicios, mitigando así los riesgos asociados a la externalización de funciones críticas.  

Estas cuestiones no son meramente enunciativas, a través de este enfoque, la SBS busca garantizar la integridad, confidencialidad y disponibilidad de la información manejada por terceros, así como la continuidad y calidad de los servicios subcontratados. Este marco no solo protege a las instituciones financieras, sino también a sus clientes y al sistema financiero en su conjunto, promoviendo las siguientes prácticas: 

• Gestión del Riesgo Operacional (1ra Línea): 

 

1. Evaluar amenazas y vulnerabilidades de seguridad e implementar medidas adecuadas. 
2. Asegurar que el contrato permita cumplir con el reglamento. 
3. Definir roles y responsabilidades sobre la seguridad de la información. 
4. Implementar procedimientos para identificar proveedores significativos y contar con un proceso de selección del proveedor. 
5. Monitorear y gestionar los riesgos de los servicios de terceros y mantener un registro detallado de los proveedores y sus servicios. 

 

• Gobierno Corporativo y de la Gestión Integral de Riesgos (Órgano de Gobierno y 2da Línea) 

 

1. El reglamento de Gobierno Corporativo y de la Gestión Integral de Riesgos ha incorporado explícitamente los requerimientos para la gestión de terceros, entre los que destacan: 
2. Los bienes y servicios provistos por terceros son entregados a la empresa por un proveedor. 
3. La subcontratación ocurre cuando la empresa solicita a un tercero bienes o servicios que podría desarrollar internamente. 
4. Bienes y servicios significativos de terceros pueden afectar gravemente a la empresa si fallan, impactando ingresos, solvencia, continuidad y reputación. 
5. Un proveedor es significativo si provee servicios críticos, sin importar la modalidad de subcontratación. 

 

• Seguridad de la Información y Ciberseguridad (2da Línea): 

Para los servicios de terceros en gestión de tecnología, seguridad de la información o que procesen datos de la Entidad, se deberá: 

a) Evaluar las amenazas y vulnerabilidades de seguridad e implementar medidas adecuadas. 
b) Asegurar que el contrato con el proveedor permita cumplir con este Reglamento. 
c) Definir roles y responsabilidades sobre la seguridad de la información y asegurar que se implementen las medidas complementarias necesarias. 
 

• Auditoría Interna (3ra Línea): 

 

1. El Aseguramiento por parte de Unidad de Auditoría Interna, implica: 
2. Revisión de la gestión del riesgo operacional. 
3. Cumplimiento de los procedimientos establecidos para la administración de los riesgos de operación. 
4. Verificación de las disposiciones de la normativa vigente sobre gestión de continuidad del negocio. 
5. Evaluación de la seguridad de la información y ciberseguridad. 

 

• Continuidad de Negocio (3ra Línea): 

 

1. Evaluación y Estimación de los recursos necesarios para la ejecución de los productos y servicios priorizados.
2. Estimación de recursos necesarios (propios y/o de terceros) para productos y servicios priorizados, incluyendo personal técnico, procedimientos, información, tecnología e infraestructura. 
3. Identificación de puntos únicos de falla. 
4. Escenarios con indisponibilidad de recursos necesarios (propios y/o de terceros). 
5. Exposición a riesgos según la ubicación geográfica de instalaciones y proveedores críticos. 
6. Análisis de escenarios con falla o indisponibilidad de bienes o servicios brindados por terceros. 

Contáctanos

• Cinthya Morales - Gerente de Consultoría de Negocios - Email: cmoralesm@bdo.com.pe
• Jesús Briceño - Líder de Proyectos de Risk Advisory - Email: jbriceno@bdo.com.pe