Alejandro Mijares
Fundador y Director Ejecutivo, Mijares Consulting
Robert Power
Consultor Ejecutivo en Riesgos e Innovación, Mijares Consulting
Resumen Ejecutivo
Las instituciones financieras dependen en gran medida de proveedores de servicios externos, los cuales enfrentan elevados niveles de riesgo si no se establecen mecanismos de supervisión adecuados. Una evaluación de 100 informes SOC 1 Tipo 2 y SOC 2 Tipo 2 identificó brechas significativas que requieren atención. Los problemas clave incluyen:
- Malentendidos entre los informes SOC 1 (controles de informes financieros) y SOC 2 (seguridad, disponibilidad, integridad de procesamiento, confidencialidad y privacidad), y entre los informes Tipo 1 y Tipo 2.
- Los Controles Complementarios de la Entidad Usuaria (Complementary User Entity Controls – CUECs) son frecuentemente pasados por alto.
- Brechas de conocimiento en la interpretación de los resultados de los informes SOC (Service Organization Control).
- Discrepancias entre los nombres de las aplicaciones en los informes SOC y el inventario interno.
- Las instituciones con frecuencia no solicitan cartas de brecha (gap letters) cuando los informes SOC presentan desfases temporales.
- El monitoreo anual de proveedores suele ignorarse, dejando riesgos sin evaluar.
- Los responsables de aplicaciones de negocio no participan lo suficiente en el proceso de gestión de riesgos de proveedores.
Observaciones
Tras revisar 100 informes SOC 1 y SOC 2 Tipo 2 en 2024, nuestra Firma identificó varias brechas y problemas comunes que requieren la atención de la alta dirección. Estos hallazgos destacan riesgos significativos que, de no abordarse, podrían derivar en un mayor escrutinio regulatorio, interrupciones operativas y daños reputacionales. Este artículo tiene como objetivo proporcionar a altos ejecutivos, miembros de juntas directivas, reguladores y auditores información sobre estas vulnerabilidades y los pasos necesarios para mitigarlas.
1 – Malentendidos entre los informes SOC 1 y SOC 2
Existe una falta generalizada de comprensión respecto a las diferencias entre los informes SOC 1 y SOC 2 y entre los informes Tipo 1 y Tipo 2. Los informes SOC 1 se centran en los controles de una organización de servicios relevantes para los informes financieros de la entidad usuaria. En contraste, los informes SOC 2 se enfocan en los controles de seguridad, disponibilidad, integridad de procesamiento, confidencialidad y privacidad. Los informes Tipo 1 describen el diseño de los controles en un momento específico, mientras que los informes Tipo 2 proporcionan evidencia de la eficacia operativa de estos controles a lo largo de un período.
Este malentendido puede dar lugar a evaluaciones de riesgo inadecuadas y a una supervisión deficiente de los proveedores. Las instituciones financieras deberían priorizar la capacitación y educación sobre estas diferencias para garantizar que todos los actores relevantes comprendan las implicaciones de cada tipo de informe. Fortalecer este conocimiento permite a las organizaciones tomar decisiones informadas al evaluar a los proveedores de servicios y mejora su programa de gestión de riesgo de terceros.
2 – Controles Complementarios de la Entidad Usuaria (CUECs) no mapeados ni abordados
Una tendencia común observada en las instituciones financieras es que los Controles Complementarios de la Entidad Usuaria (Complementary User Entity Controls – CUECs), no están siendo mapeados ni abordados. Los CUECs destacan los controles que las entidades usuarias (instituciones financieras) deben implementar para garantizar la efectividad del entorno general de control. La guía del FFIEC enfatiza que los bancos deben revisar los informes SOC y determinar si sus propios controles internos abordan adecuadamente los CUECs. Mapear los CUECs de los informes SOC a los controles internos de un banco es clave para mitigar riesgos de terceros, garantizar el cumplimiento regulatorio y fortalecer la resiliencia operativa.
Los CUECs definen las responsabilidades que los bancos deben cumplir para asegurar la efectividad del entorno de control de un proveedor; sin embargo, muchas instituciones financieras no los implementan ni los evalúan adecuadamente.
El American Institute of Certified Public Accountants (AICPA) también subraya la importancia de los CUECs en sus directrices de informes SOC, estableciendo que las entidades usuarias deben implementar estos controles para lograr los beneficios previstos del sistema de la organización de servicios. Sin la alineación de los CUECs con los controles internos, las instituciones financieras no pueden depender por completo de los servicios subcontratados para garantizar la seguridad, la integridad de los datos o la precisión financiera. La orientación regulatoria espera que las instituciones revisen, documenten y atiendan de forma activa los CUECs, integrándolos en los marcos de gestión de riesgo para prevenir interrupciones y fallas de cumplimiento.
Al pasar por alto este paso crítico, las instituciones financieras se exponen a deficiencias de auditoría, riesgos operativos, brechas de cumplimiento, riesgos en los informes financieros y posibles acciones de aplicación regulatoria (Enforcement Actions), lo que convierte a la supervisión de los CUECs en un aspecto innegociable de la gestión de riesgos de terceros.
3 – Falta de conocimiento de auditoría en la revisión de informes SOC
Un número significativo de instituciones carece del conocimiento de auditoría necesario para comprender e interpretar plenamente los informes SOC. Esta brecha de conocimiento puede derivar en una interpretación errónea del alcance y los hallazgos de estos informes, lo que conduce a decisiones ineficaces de gestión de riesgo.
La evaluación adecuada de los informes SOC requiere un enfoque integral que considere la eficacia de los controles, el alcance de la auditoría y las posibles brechas que podrían impactar el cumplimiento regulatorio y las operaciones del negocio.
Las instituciones financieras deberían invertir en programas de capacitación en auditoría para el personal relevante, establecer directrices internas sobre la presentación y escalamiento de los resultados de los informes SOC y promover la colaboración transversal entre las áreas de negocio, auditoría, cumplimiento, TI, seguridad de la información (IS) y gestión de proveedores.
Fortalecer la experiencia en la evaluación de informes SOC es esencial para mejorar la supervisión de proveedores, garantizar la adherencia regulatoria y mitigar eficazmente los riesgos de terceros.
4 – Consideración inadecuada de los métodos de auditoría para organizaciones subcontratadas
Nuestra evaluación mostró que la dirección con frecuencia no considera de manera adecuada los métodos de auditoría aplicados a las organizaciones subcontratadas al revisar los informes SOC, lo que genera posibles brechas en la gestión de riesgo.
Los métodos “Carve-Out” e Inclusive determinan si los controles de la organización subcontratada se incluyen en el informe SOC principal. El método más utilizado, Carve-Out, excluye los objetivos de control de la organización subcontratada, lo que requiere que la entidad usuaria evalúe estos controles por separado, en caso de ser necesario, mediante medidas adicionales de supervisión, como la revisión del informe SOC del proveedor subcontratado, directrices de cumplimiento y procedimientos de monitoreo.
El método “Inclusive”, por otro lado, incorpora directamente los objetivos de control de la organización subcontratada en el informe SOC de la organización de servicios, ofreciendo una evaluación más transparente y completa del entorno general de control. Este enfoque garantiza que los controles de ambas entidades sean probados en conjunto, brindando mayor seguridad, pero requiriendo plena cooperación de la organización subcontratada durante el proceso de auditoría.
La dirección debe evaluar qué método se utilizó para mitigar los riesgos de terceros y determinar si es necesaria una supervisión adicional.
5 – Discrepancias entre los nombres de aplicaciones en los informes SOC y las listas de inventario de la institución financiera
Una de las tendencias más preocupantes es la falta de una gestión precisa de inventario, particularmente en lo relativo a las aplicaciones. Se detectaron discrepancias entre las listas de aplicaciones en los sistemas de gestión de proveedores, sistemas de TI y sistemas de seguridad de la información (IS). En algunos casos, aplicaciones dadas de baja seguían apareciendo en las listas, mientras que otras en uso no estaban registradas. Esta fragmentación puede conducir a omisiones críticas en materia de seguridad y cumplimiento. Las instituciones financieras deberían conciliar periódicamente los inventarios de aplicaciones en todos sus sistemas para garantizar precisión y exhaustividad.
Además, existen con frecuencia discrepancias entre los nombres de las aplicaciones listadas en los informes SOC y aquellas incluidas en los inventarios internos de la institución financiera. Estas inconsistencias pueden generar confusión en las auditorías y evaluaciones de riesgo, lo que podría dar lugar a riesgos no identificados. Para mantener la integridad y exactitud, las instituciones financieras deben establecer un proceso para la verificación y validación cruzada de los nombres de las aplicaciones entre los informes SOC y los inventarios internos.
6 – Falta de solicitud de gap letters
Una observación constante en múltiples instituciones es la ausencia de gap letters al revisar los informes SOC. Las gap letters son fundamentales para comprender qué períodos no están cubiertos por el informe SOC, especialmente cuando existe un desfase entre el período reportado y la fecha actual. Sin ellas, las instituciones financieras pueden exponerse sin saberlo a riesgos que surgieron después de la emisión del informe SOC. Las instituciones financieras deberían integrar la solicitud y revisión rutinaria de gap letters en sus procesos de gestión de proveedores como una práctica estándar.
7 – Incumplimiento de políticas y procedimientos de gestión de proveedores
La gestión de proveedores es una piedra angular del programa de gestión de riesgo de una institución financiera. Lamentablemente, nuestra revisión indica incumplimiento de las políticas y procedimientos internos de gestión de proveedores. Esto suele deberse a una falta de comunicación clara y falta de responsabilidades bien definidas entre los distintos departamentos. Las instituciones financieras deben asegurarse de que las prácticas de gestión de proveedores estén bien documentadas y se apliquen de manera efectiva, incluyendo capacitación regular para las partes interesadas involucradas en la gestión de proveedores.
8 – Monitoreo anual inadecuado de proveedores
Muchas instituciones no cumplen con el requisito básico de monitoreo anual de proveedores. Este descuido puede dar lugar a evaluaciones de riesgo desactualizadas, lo que permite que posibles problemas pasen desapercibidos, como la omisión de amenazas emergentes, deficiencias de cumplimiento o un deterioro en el desempeño de los proveedores, lo que incrementa la exposición a riesgos operativos y de seguridad.
Las instituciones financieras deben establecer un enfoque disciplinado para el monitoreo de proveedores, garantizando que todos los proveedores de alto riesgo sean revisados al menos una vez al año. Esto incluye evaluar la estabilidad financiera, la seguridad y el desempeño de los proveedores, así como su cumplimiento con las regulaciones pertinentes y con las políticas internas.
9 – Falta de participación de los responsables de aplicaciones de negocio
La participación de los responsables de aplicaciones de negocio es clave para comprender los riesgos específicos asociados con cada aplicación de sistema. Sin embargo, la Firma observó una falta recurrente de participación de estos actores en el proceso de gestión de proveedores. Esta desconexión puede resultar en la omisión de riesgos críticos específicos de las aplicaciones y de dependencias con los proveedores, así como en la incapacidad para identificar e implementar los controles necesarios. Las instituciones financieras deberían fomentar una mayor colaboración entre las áreas de TI, seguridad de la información (IS), gestión de riesgo y los responsables de aplicaciones de negocio para asegurar que se consideren diferentes perspectivas en el proceso de gestión de riesgos de proveedores.
Conclusión
En conclusión, un análisis exhaustivo de los informes SOC 1 y SOC 2 resalta vulnerabilidades significativas dentro de los programas de gestión de riesgo de terceros y de supervisión de controles internos en las instituciones financieras. La falta de comprensión de las diferencias entre los tipos de informes SOC y sus implicaciones dificulta la efectividad de las evaluaciones de proveedores y conduce a evaluaciones de riesgos inexactas.
Asimismo, la falta generalizada de un mapeo y atención adecuados de los Controles Complementarios de la Entidad Usuaria (CUECs), compromete directamente la eficacia de los controles de los proveedores, incrementando la vulnerabilidad a escrutinio regulatorio, interrupciones operativas, fallas de cumplimiento e incidentes de ciberseguridad.
La ausencia de conocimiento de auditoría en la interpretación de los informes SOC agrava aún más estas vulnerabilidades, al igual que la consideración insuficiente de las metodologías de auditoría de organizaciones subcontratadas. La incapacidad de distinguir y evaluar adecuadamente los métodos Carve-Out e Inclusive introduce puntos ciegos en la supervisión, reduciendo la capacidad de la institución para identificar y mitigar riesgos derivados de relaciones indirectas con proveedores.
Adicionalmente, las discrepancias persistentes en la gestión de inventarios de aplicaciones y la omisión de solicitar y revisar gap letters críticas amplifican aún más el panorama de riesgo, obstruyendo la visibilidad y la capacidad de respuesta oportuna frente a amenazas actuales y emergentes.
Las instituciones financieras deben priorizar iniciativas estratégicas para mitigar proactivamente estos riesgos, incluyendo programas integrales de capacitación que aclaren el alcance y propósito de los informes SOC, la integración sistemática de los CUECs en los marcos de control interno y el fortalecimiento de la experiencia de auditoría en las áreas de cumplimiento, auditoría, TI, seguridad de la información y gestión de proveedores. Establecer procedimientos disciplinados para la conciliación consistente de inventarios, la adquisición y análisis rutinario de gap letters, así como la aplicación rigurosa de políticas y procedimientos de gestión de proveedores es esencial para reforzar la resiliencia organizacional.
Fomentar una mayor participación y responsabilidad de los responsables de aplicaciones de negocio permitirá realizar evaluaciones de riesgo más completas y ajustadas al perfil único de cada aplicación.
Al adoptar estas mejoras estratégicas, las instituciones financieras pueden fortalecer significativamente sus capacidades de gestión de riesgo de terceros, asegurar un sólido cumplimiento con las directrices regulatorias, mejorar la resiliencia operativa y promover una mayor confianza y seguridad en las relaciones con proveedores externos.
Gracias por leer nuestro artículo sobre el fortalecimiento la Gestión de Riesgo de Terceros en Instituciones Financieras
Si te resultaron valiosas estas perspectivas, por favor dale a “Me gusta” y “Compartir” para difundir este conocimiento dentro de tu red profesional. Tu participación es crucial para fomentar una comprensión más amplia de estos temas críticos.
Recuerda seguirnos para recibir actualizaciones continuas e información sobre la intersección entre finanzas y tecnología. Tu participación es clave para construir una comunidad a la vanguardia de las tendencias e innovaciones de la industria. Agradecemos tu apoyo y esperamos continuar este camino juntos. ¡Mantengamos activa la conversación!
Síguenos, mantente informado, mantente seguro y naveguemos juntos el panorama de riesgos.
