Auditoría de cumplimiento de los STI tercerizados

La Comunicación A 6375 actualiza la sección 7 (siete) sobre Servicios de Tecnología Informática (STI) tercerizados y la protección de los datos gestionados por intermedio de estos. En este sentido, plantea el establecimiento de escenarios que permiten ponderar el nivel de importancia relativo de cada STI y sus necesidades regulatorias, los que arrojan una criticidad resultante de la relación entre la gestión de riesgos operacional de la entidad financiera y la matriz de escenarios dispuesta por la Norma.

De este modo, debiéramos partir del supuesto que se realiza un efectivo cumplimiento de las regulaciones y leyes vigentes, tales como, datos personales o prevención de lavado de activos, entre otras, y no sumar mayores aspectos al análisis de esta comunicación que los estrictamente solicitados.

La norma pretende asegurar que la información de las personas y las operaciones efectuadas a través de la entidad financiera, gocen de un nivel de protección adecuado para ser confiables, más allá de que se realicen dentro del ámbito de la entidad o por un tercero ajeno a esta.

El PAU como concepto

El Punto de Acceso Unificado debería permitir ejercer el control activo, continuo y permanente de todas las actividades indicadas en el acuerdo del STI y los datos. De este modo, debería proveer evidencia suficiente para demostrar la confiablidad de la materia auditable, ante revisiones independientes del control interno de parte de auditorías internas, externas o entes regulatorios.

No obstante, si bien el PAU sugiere centralización de cierta información, no implica que esta función deba asignarse a una persona o área de la organización, ya que la misma podría distribuirse entre quienes deben proveer esa información. Lo esencial es que cuando la evidencia sea requerida esté disponible y no haya necesidad de gestionar requerimientos, cuyo tiempo de respuesta pueda quedar condicionada a las necesidades operativas del negocio.

La visión de la entidad financiera y del proveedor del STI

La entidad financiera debe:

– Identificar los STI tercerizados y encuadrar la operatoria de estos dentro de la matriz de escenarios.

– Extender el cumplimiento de los procesos de seguridad de la entidad financiera a sus proveedores.

– Definir la implementación del PAU.

– Conservar una relación contractual formal con el proveedor del STI donde se comprometa a:

1. Estar sujeto a regulaciones técnicas y reconocer la facultad de la Superintendencias de Entidades Financieras y Cambiarias para auditar periódicamente dichas condiciones.
2. Realizar auditorías internas al menos una vez al año respecto de las actividades descentralizadas o tercerizadas.

El proveedor del STI debe:

– Proveer información a todas las entidades financieras sobre la prestación de los STI contratados, mediante un reporte único.

– Demostrar la ejecución de auditorías internas sobre los STI prestados a las entidades financieras.

Conclusiones

La auditoría provee, con un cierto grado de confianza, su vista sobre el aseguramiento de la efectividad del gobierno corporativo, la gestión de riesgos y el control interno. De este modo, llevará a cabo su revisión partiendo de la información disponible en el PAU y deberá verificar el grado de cumplimiento de los deberes de la entidad financiera y del proveedor del STI para obtener sus propias conclusiones.

Asimismo, el gobierno corporativo debería hacer propio este enfoque, porque es la mejor forma de gestionar sus riesgos operativos y no sólo para cubrir una necesidad de cumplimiento.

Desde el área de Aseguramiento de Procesos Informáticos de BDO Argentina, contamos con una amplia experiencia en la implementación de procesos de clasificación de activos, gestión de riesgos, revisión de terceras partes y certificación ISAE 3402.