GESTIÓN DEL RIESGO

DE PROVEEDORES
O DE RELACIONES CON TERCEROS
INDICE

• REGULACIONES EN
ARGENTINA Y LA
REGIÓN

• COMO LO
IMPLEMENTAMOS?
MODELO PRC

• PRINCIPALES
RIESGOS - BCP
 REGULACIONES EN ARGENTINA

Descentralización de actividades – Outsourcing – Com. A 3149 del Banco Central

de la República Argentina - BCRA (2000)
En el mismo país
de la Casa
Actividades Matriz
administrativas Certificación del
o no operativas que Regulador del país
no tengan BCP probado que cumple con
exteriorización al por el BCRA Basilea y GAFI
(antes del inicio
público
y anualmente)
En el exterior (solo
dependencias Auditorías
o subsidiarias internas y
de la casa matriz del BCRA anuales
Mantenga
Comunicación con algunos requisitos) determinada
previa al documentación
regulador en Argentina
(90 días)
En el país
(dependencias Cumplimiento de
propias o de terceros) normativa del
BCRA (en el país o
en el exterior)
 REGULACIONES EN LA REGIÓN
KEY MATTERS

Regulatory / legal requirement Argentina Brazil Chile Uruguay

OUTSOURCING PROCESS
 Existence of specific regulations YES YES YES YES

 Obtain approval from Regulators. YES YES YES YES

 The outsourcing may be done within the country or YES YES YES YES
abroad.
 Promptness in showing information to the Regulators. NO YES NO NO

 The contingency plan should be in the country. NO N/A YES NO

 Some documentation must be kept and filed in the YES YES YES YES
country.
 Regulators from time to time access to audit revision YES YES YES YES
whenever the process is performed.

 Vendor must have minimum processing standards. YES YES YES YES

 Vendor agreement must fulfil certain minimum standards, YES YES YES YES
such as to permit access to processing facilities to
Regulators, internal and external audit revisions.

BANK SECRECY
 Restrictions to share information about clients and YES YES YES YES
operations.
 REGULACIONES EN ARGENTINA

Gestión de proveedores (TI) – Com. A 4609 del Banco Central de la República

Argentina - BCRA (2006)

 Establece los requisitos mínimos para la administración y/o el procesamiento

de datos, sistemas o tecnologías.

 El Directorio / Board es el responsable de:

Establecer y aprobar políticas Asegurar que el proveedor cuente

analizando los riesgos con un adecuado plan de recuperación
Involucrados según los niveles de riesgo asumidos. Delegar no implica
Transferir
responsabilidad
Controlar y monitorear Establecer un plan de
los niveles de servicio, continuidad de las
la confidencialidad de actividades delegadas para
los datos y de lo no cesar las tareas
normado por el BCRA. normales
 REGULACIONES EN ARGENTINA

Gestión de proveedores (TI) – Com. A 4609 del Banco Central de la República

Argentina - BCRA (2006)

 Deben existir contratos en los cuales se formaliza la delegación de actividades y el

regulador establece los contenidos mínimos.

 El BCRA no deber tener limitaciones en cuanto al acceso de los datos, la revisión

y tenencia de la documentación técnica relacionada y a la realización de auditorías
periódicas en las instalaciones del proveedor.

 Debe existir una adecuada separación lógica y física si el tercero brinda el servicio
a múltiples organizaciones.

 No pueden delegarse actividades con proveedores que sean auditores internos

y/o externos.

 No se requiere la autorización previa (excepto para los casos de outsourcing).

 COMO LO IMPLEMENTAMOS?

Interacción con el Informes al

regulador para Action plan Tracking del Comité de
determinar con fechas plan Riesgo Operacional
alcances de la y responsables de acción y al Directorio
nueva norma por ORM / Board

Criterios para Inventario de

definir proveedor / contratos
outsourcing y cláusulas -Gaps

Actualización de Proceso de Monitoreo

políticas y remediación para el independient
procedimientos stock e

Capacitación Identificación
interna y difusión a de Roles y
terceros. Responsabilidades
 PRINCIPALES RIESGOS - BCP

 Todo proveedor tiene un owner que es responsable de:

 Analizar si el BCP le permite seguir teniendo el nivel de servicio contratado y documentar sus
conclusiones.

 Diseñar una estrategia si el tercero no puede / quiere prestar el servicio.

 Las áreas responsables del BCP (ORM / SI) deben realizar el sign off de las
revisiones elaboradas por el owner para:

 Determinar si son razonables y consistentes con el plan de recuperación de la entidad (recursos /

plazos).
 Ejercer un control por oposición al responsable de la relación con el tercero.

 El BCP del proveedor debe ser revisado anualmente por el owner y por ORM / SI
para determinar si existen riesgos incrementales a los identificados oportunamente.

 Un check list con los requisitos mínimos establecidos por la entidad debe ser
incluido dentro del pliego de condiciones cuando se trata de proveedores que no
son regulados.
 COMO LO IMPLEMENTAMOS?
Modelo PRC

Criterios para
Nuevo esquema de gestión
diferenciar
de riesgo de Proveedores
proveedores
de outsourcing

Proveedores Riesgo Cumplimiento

Visión integral y Due diligence Control de

no solo en antecedentes (documentación + proveedores
criterios) independiente Monitoreo
comerciales
de
situación
Contratos Tipo patrimonial
Análisis de balance Revisión de
con cláusulas previsional
y situación previsional performance c/SLA
solicitadas por BCRA +
financiera
Roles Análisis Seguimiento del + BCP + SI
y responsabilidades interdisciplinario Comité de Riesgo
documentados del BCP y medidas IS Operacional

Segmentación según niveles de criticidad y riesgo