GESTIÓN DEL RIESGO DE PROVEEDORES O DE RELACIONES CON TERCEROS

Tamaño: px

Comenzar la demostración a partir de la página:

Download "GESTIÓN DEL RIESGO DE PROVEEDORES O DE RELACIONES CON TERCEROS"

Victoria Aguilar Barbero
hace 8 años
Vistas:

1 GESTIÓN DEL RIESGO DE PROVEEDORES O DE RELACIONES CON TERCEROS

2 INDICE REGULACIONES EN ARGENTINA Y LA REGIÓN COMO LO IMPLEMENTAMOS? MODELO PRC PRINCIPALES RIESGOS - BCP

3 REGULACIONES EN ARGENTINA Descentralización de actividades Outsourcing Com. A 3149 del Banco Central de la República Argentina - BCRA (2000) Actividades administrativas o no operativas que no tengan exteriorización al público Comunicación previa al regulador (90 días) En el exterior (solo dependencias o subsidiarias de la casa matriz con algunos requisitos) En el país (dependencias propias o de terceros) En el mismo país de la Casa Matriz BCP probado por el BCRA (antes del inicio y anualmente) Mantenga determinada documentación en Argentina Cumplimiento de normativa del BCRA (en el país o en el exterior) Certificación del Regulador del país que cumple con Basilea y GAFI Auditorías internas y del BCRA anuales

regulador (90 días) En el exterior (solo dependencias o subsidiarias de la casa matriz con algunos requisitos) En el país (dependencias propias o de terceros) En el mismo país de

4 REGULACIONES EN LA REGIÓN KEY MATTERS Regulatory / legal requirement Argentina Brazil Chile Uruguay OUTSOURCING PROCESS Existence of specific regulations YES YES YES YES Obtain approval from Regulators. YES YES YES YES The outsourcing may be done within the country or YES YES YES YES abroad. Promptness in showing information to the Regulators. NO YES NO NO The contingency plan should be in the country. NO N/A YES NO Some documentation must be kept and filed in the country. Regulators from time to time access to audit revision whenever the process is performed. YES YES YES YES YES YES YES YES Vendor must have minimum processing standards. YES YES YES YES Vendor agreement must fulfil certain minimum standards, such as to permit access to processing facilities to Regulators, internal and external audit revisions. YES YES YES YES BANK SECRECY Restrictions to share information about clients and operations. YES YES YES YES

NO YES NO NO The contingency plan should be in the country. NO N/A YES NO Some documentation must be kept and filed in the country.

5 REGULACIONES EN ARGENTINA Gestión de proveedores (TI) Com. A 4609 del Banco Central de la República Argentina - BCRA (2006) Establece los requisitos mínimos para la administración y/o el procesamiento de datos, sistemas o tecnologías. El Directorio / Board es el responsable de: Establecer y aprobar políticas analizando los riesgos Involucrados Controlar y monitorear los niveles de servicio, la confidencialidad de los datos y de lo normado por el BCRA. Asegurar que el proveedor cuente con un adecuado plan de recuperación según los niveles de riesgo asumidos. Establecer un plan de continuidad de las actividades delegadas para no cesar las tareas normales Delegar no implica Transferir responsabilidad

El Directorio / Board es el responsable de: Establecer y aprobar políticas analizando los riesgos Involucrados Controlar y monitorear los niveles de servicio, la

6 REGULACIONES EN ARGENTINA Gestión de proveedores (TI) Com. A 4609 del Banco Central de la República Argentina - BCRA (2006) Deben existir contratos en los cuales se formaliza la delegación de actividades y el regulador establece los contenidos mínimos. El BCRA no deber tener limitaciones en cuanto al acceso de los datos, la revisión y tenencia de la documentación técnica relacionada y a la realización de auditorías periódicas en las instalaciones del proveedor. Debe existir una adecuada separación lógica y física si el tercero brinda el servicio a múltiples organizaciones. No pueden delegarse actividades con proveedores que sean auditores internos y/o externos. No se requiere la autorización previa (excepto para los casos de outsourcing).

7 COMO LO IMPLEMENTAMOS? Interacción con el regulador para determinar alcances de la nueva norma Action plan con fechas y responsables Tracking del plan de acción por ORM Informes al Comité de Riesgo Operacional y al Directorio / Board Criterios para definir proveedor / outsourcing Inventario de contratos y cláusulas -Gaps Actualización de políticas y procedimientos Proceso de remediación para el stock Monitoreo independient e Capacitación interna y difusión a terceros. Identificación de Roles y Responsabilidades

de acción por ORM Informes al Comité de Riesgo Operacional y al Directorio / Board Criterios para definir proveedor /

8 PRINCIPALES RIESGOS - BCP Todo proveedor tiene un owner que es responsable de: Analizar si el BCP le permite seguir teniendo el nivel de servicio contratado y documentar sus conclusiones. Diseñar una estrategia si el tercero no puede / quiere prestar el servicio. Las áreas responsables del BCP (ORM / SI) deben realizar el sign off de las revisiones elaboradas por el owner para: Determinar si son razonables y consistentes con el plan de recuperación de la entidad (recursos / plazos). Ejercer un control por oposición al responsable de la relación con el tercero. El BCP del proveedor debe ser revisado anualmente por el owner y por ORM / SI para determinar si existen riesgos incrementales a los identificados oportunamente. Un check list con los requisitos mínimos establecidos por la entidad debe ser incluido dentro del pliego de condiciones cuando se trata de proveedores que no son regulados.

Las áreas responsables del BCP (ORM / SI) deben realizar el sign off de las revisiones elaboradas por el owner para: Determinar si son razonables y consistentes con el plan de recuperación de la

9 COMO LO IMPLEMENTAMOS? Modelo PRC Criterios para diferenciar proveedores de outsourcing Nuevo esquema de gestión de riesgo de Proveedores Proveedores Riesgo Cumplimiento Visión integral y no solo en antecedentes comerciales Contratos Tipo con cláusulas solicitadas por BCRA Roles y responsabilidades documentados Due diligence (documentación + criterios) Análisis de balance y situación previsional Análisis interdisciplinario del BCP y medidas IS Control de proveedores independiente Revisión de performance c/sla Seguimiento del Comité de Riesgo Operacional Monitoreo de situación patrimonial previsional + financiera + BCP + SI Segmentación según niveles de criticidad y riesgo

solo en antecedentes comerciales Contratos Tipo con cláusulas solicitadas por BCRA Roles y responsabilidades documentados Due diligence (documentación + criterios)

Documentos relacionados

POLITICA DE SISTEMA DE CONTROL INTERNO

POLITICA DE SISTEMA DE CONTROL INTERNO POLITICA DE SISTEMA DE CONTROL INTERNO Introducción y Objetivos El sistema de control interno de SURA Asset Management busca proveer seguridad razonable en el logro