Daniel Catalinas, socio de FSO y responsable de TPRM en EY España, explica en este artículo cómo afecta DORA a los profesionales de Third Party Risk Management.
COLABORACIÓN escrita por Daniel Catalinas, socio de FSO y responsable de TPRM en EY España.
Uno de los temas que genera mayor interés a los profesionales de Third Party Risk Management (TPRM), es la Directiva de Operabilidad de Riesgos y Resiliencia (DORA) y las implicaciones que esta podría tener en las entidades financieras a medida que se acerca su fecha de implementación, el 17 de enero de 2025.
Recientemente, la European Supervision Authority (ESA) lanzó una consulta pública en torno a un primer conjunto de normas técnicas de regulación y ejecución. Es importante destacar que el plazo para responder a esta consulta concluye el 11 de septiembre. Este conjunto de normas, conocido como RTS on ICT services Policy, tiene una relevancia especial en el mundo TPRM ya que establece los requisitos que deben seguir las entidades financieras en relación con el ciclo de vida de la gestión de acuerdos de terceros.
El RTS on ICT services Policy establece los requisitos para todas las fases que deben realizar las entidades financieras en relación con el ciclo de vida de la gestión de acuerdos de terceros. Entre los aspectos tratados se encuentran la fase precontractual, la implementación, el seguimiento y la gestión de acuerdos contractuales para el uso de servicios de TIC que respalden funciones críticas o importantes, así como la estrategia de salida y los procesos de terminación.
Especial atención merecen los artículos 6, 7 y 11:
- El artículo 6 (Evaluación de Riesgos Ex-ante) establece que antes de formalizar cualquier contrato se debe realizar una evaluación de riesgos integral. Esta evaluación deberá tomar en cuenta el impacto que podría tener la prestación de servicios TIC, que respaldan funciones críticas o importantes, realizada por proveedores de servicios TIC externos. La evaluación deberá considerar todos los riesgos posibles, incluyendo riesgos operacionales, legales, tecnológicos, reputacionales, de protección de datos confidenciales o personales, de disponibilidad de datos, así como los riesgos relacionados con la ubicación donde los datos se procesan y almacenan, la ubicación del proveedor y, por último, los riesgos de concentración a nivel de entidad.
- El apartado 7 (Due diligence) establece que antes de la formalización del contrato, se deberán evaluar diversos aspectos del proveedor. Entre estos se incluye la reputación comercial del proveedor, sus habilidades, experiencia, recursos financieros, humanos y técnicos, estándares de seguridad de la información y su estructura organizativa, incluyendo la gestión de riesgos y controles internos. Además, se deberá evaluar si el proveedor tiene intención de utilizar subcontractors para una parte material del servicio, la ubicación del proveedor, si almacena o procesa datos en otro país y si este hecho pudiera aumentar los riesgos operacionales y reputacionales. También es necesario evaluar si una posible sanción podría poner en riesgo la prestación del servicio, y si existen medidas de mitigación de riesgos y de continuidad del negocio.
- El artículo 11 (Exit and termination), que explicita que los planes de salida para aquellos servicios que soporten funciones críticas o importantes deben revisarse y testarse periódicamente, hecho este último novedoso, pues en regulaciones previas del ámbito TPRM nunca se había exigido este tipo de prueba.
En resumen, las normas técnicas de regulación y ejecución son un recurso esencial en la gestión de riesgos de terceros, especialmente en un contexto cada vez más digitalizado y complejo. Proporcionan una guía detallada que ayuda a las entidades financieras a desarrollar estrategias de gestión de riesgos más robustas y resilientes. Esto es especialmente importante en un sector donde cada vez es más común la externalización de servicios y funciones críticas a terceros.