DORA2026-03-106 min de lectura

Riesgo de Terceros: Se Explica el Pilar DORA Más Complejo

También disponible en:EnglishDeutschFrançaisNederlandsItaliano

Riesgo de Terceros: Se Explica el Pilar DORA Más Complejo

Riesgo de Terceros: Se Explicar el Pilar DORA Más Complejo

El Digital Operational Resilience Act (DORA) es un reglamento de la Unión Europea que establece un marco integral para garantizar la resiliencia operativa de las instituciones financieras. Entre sus varios pilares, la gestión de riesgos de terceros, abarcados por los Artículos 28-44 del DORA, ha sido identificado como el más difícil de navegar. Esta complejidad surge debido a la intrincada naturaleza de las relaciones de terceros, el dinámico paisaje TIC y la necesidad de procesos de diligencia debida sólida. A medida que los oficiales de cumplimiento, CISO y gerentes de riesgo de las instituciones financieras europeas se preparan para la implementación del DORA, es fundamental entender las matices de este pilar y desarrollar un enfoque sistemático para la gestión de riesgos de TIC de terceros.

Requisitos o Conceptos Clave

El enfoque de DORA en la gestión de riesgos de terceros es multifacético, requiriendo que las instituciones financieras consideren todo el ciclo de vida de las relaciones con terceros, desde la incorporación hasta el monitoreo continuo y el eventual término. A continuación se presentan los requisitos y conceptos clave que las instituciones financieras deben abordar:

  1. Diligencia Debida a Proveedores (VDD): Según el Artículo 28 del DORA, las instituciones deben realizar una VDD exhaustiva antes de entrar en una relación con un tercero. Esto incluye evaluar la resiliencia operativa del tercero, su estabilidad financiera y reputación. La institución también debe considerar la capacidad del tercero para cumplir con los requisitos del DORA.

  2. Gobierno y Supervisión: El Artículo 29 enfatiza la necesidad de un marco de gobierno sólido que defina claramente los roles y responsabilidades para la gestión de riesgos de terceros. Las instituciones deben nombrar una persona o equipo dedicado responsable de supervisar las relaciones con terceros.

  3. Obligaciones Contractuales: El Artículo 30 establece que los contratos con terceros deben incluir disposiciones que aseguren el cumplimiento con los requisitos del DORA, incluyendo la obligación del tercero de informar cualquier incidente que pueda afectar la resiliencia operativa de la institución.

  4. Evaluación de Terceros: El Artículo 32 requiere que las instituciones financieras evalúen regularmente la resiliencia operativa de sus terceros. Esto incluye evaluar los procesos de gestión de riesgos, controles e capacidades de respuesta a incidentes del tercero.

  5. Compartir Información: El Artículo 35 manda que las instituciones financieras deben tener mecanismos en lugar para compartir información relevante con terceros en un tiempo oportuno, particularmente en el evento de un incidente significativo que pueda afectar la resiliencia operativa.

  6. Informe de Incidentes: Los Artículos 36-38 describen los requisitos para informar incidentes a la autoridad competente y el Banco Central Europeo (BCE). Las instituciones deben asegurarse de que sus terceros sean conscientes de estas obligaciones de informes y tengan procesos en lugar para facilitar el cumplimiento.

Guía de Implementación o Pasos Prácticos

Para abordar sistemáticamente la gestión de riesgos de terceros bajo el DORA, las instituciones financieras pueden seguir estos pasos prácticos:

  1. Realizar un Análisis Detallado de Brechas: Comience evaluando sus prácticas actuales de gestión de riesgos de terceros en contraposición con los requisitos del DORA. Identifique brechas y desarrolle un plan para abordarlas.

  2. Desarrollar un Marco de Gestión de Riesgos de Terceros: Cree un marco integral que incluya políticas, procedimientos y herramientas para gestionar riesgos de terceros a lo largo de todo el ciclo de vida de la relación.

  3. Implementar un Proceso Riguroso de VDD: Establezca un proceso de VDD estructurado que involucre evaluar la resiliencia operativa del tercero, su estabilidad financiera y el cumplimiento regulador. Use listas de verificación y cuestionarios para estandarizar el proceso de evaluación.

  4. Establecer Obligaciones Contractuales: Revise y actualice sus contratos con terceros para asegurarse de que incluyan disposiciones que exijan el cumplimiento con los requisitos del DORA. Esto puede implicar la renegotiación de contratos existentes o la redacción de nuevos.

  5. Implementar Monitoreo Continuo: Desarrolle procesos para el monitoreo continuo de terceros, incluyendo evaluaciones regulares de su resiliencia operativa e mecanismos de informes de incidentes.

  6. Crear un Sistema Centralizado de Gestión de Proveedores: Use un sistema centralizado para administrar todas las relaciones con terceros, incluyendo documentos de diligencia debida, contratos e informes de evaluación. Esto facilitará el seguimiento eficiente e informes.

  7. Desarrollar Procesos de Informe y Gestión de Incidentes: Asegúrese de que sus procesos de informe y gestión de incidentes estén alineados con los requisitos del DORA. Entrene a su personal y terceros en estos procesos para garantizar la informes oportunos y precisos.

  8. Capacitar y Educar al Personal: Realice sesiones de capacitación regulares para su personal y terceros para asegurarse de que entiendan sus roles y responsabilidades en la gestión de riesgos de terceros.

  9. Realizar Revisiones Periódicas y Actualizaciones: Revise y actualice regularmente su marco de gestión de riesgos de terceros para asegurarse de que permanezca eficaz y esté en cumplimiento con los últimos requisitos reguladores.

Errores Comunes o Trampas a Evitar

  1. Subestimar el Alcance de las Relaciones de Terceros: No identificar todas las relaciones de terceros puede llevar a brechas en la gestión de riesgos. Asegúrese de tener una lista completa de todos los terceros, incluyendo subcontratistas.

  2. Negligenciar la Evaluación Continua de Terceros: Realizar VDD solo al comienzo de una relación es insuficiente. Se requieren evaluaciones regulares para garantizar el cumplimiento continuo y la resiliencia operativa.

  3. Falta deRoles y Responsabilidades Claros: La ambigüedad en roles y responsabilidades puede llevar a confusión e ineficiencias en la gestión de riesgos de terceros. Defina y comunique claramente roles y responsabilidades dentro de su organización.

  4. Documentos Inadecuados: La falta de documentos adecuados de procesos de diligencia debida y evaluaciones puede llevar a la no conformidad reguladora. Asegúrese de una documentación completa y mantenga registros en un sistema centralizado.

  5. Desestimar la Importancia del Informe de Incidentes: No establecer procesos de informe de incidentes o no capacitar al personal y terceros en estos procesos puede resultar en no conformidad con los requisitos de informe del DORA.

Cómo Ayuda Matproof

La plataforma de gestión de cumplimiento de Matproof ofrece una solución integral para la gestión de riesgos de TIC de terceros bajo el DORA. Con funciones como diligencia debida automatizada, gestión de contratos e informes de incidentes, Matproof simplifica el proceso de gestión de relaciones con terceros mientras asegura el cumplimiento con los requisitos reguladores. Nuestra plataforma también proporciona capacidades de monitoreo y reporte en tiempo real, permitiendo a las instituciones financieras mantener una visión clara de su panorama de riesgos de terceros.

riesgo de terceros DORApilar 4 de DORAgestión de terceros TICriesgo de proveedor DORA

¿Listo para simplificar el cumplimiento?

Esté listo para la auditoría en semanas, no meses. Vea Matproof en acción.

Solicitar una demo