La guía definitiva para la gestión del riesgo de terceros

La Gestión de Riesgos de Terceros (TPRM) ha pasado de ser un ejercicio de lista de comprobación anual a una función diaria crítica. En este artículo, definimos la GTRP, revelamos los impulsores del programa y analizamos el valor de implantar un programa en su organización.

Imagen decorativa

La normativa DORA, la NIS2 y las normas de la SEC sobre divulgación de información en materia de ciberseguridad han convertido el riesgo de terceros en una responsabilidad que recae en el consejo de administración.

El panorama de amenazas está agravando la presión: las vulnerabilidades en la cadena de suministro de software , la proliferación de herramientas de IA y el riesgo de concentración entre los proveedores de tecnología y los ecosistemas de proveedores son ahora riesgos habituales, no casos aislados. Lo que está cambiando es la forma en que las organizaciones están respondiendo. Los programas que están ganando terreno integran la gestión de riesgos de terceros (TPRM) en la función más amplia de riesgo y cumplimiento normativo, utilizando la información sobre proveedores para orientar la toma de decisiones ejecutivas y la postura de riesgo de la empresa, en lugar de canalizarla a través de un ciclo de revisión anual.

A continuación se aborda el tema en su totalidad: qué es la gestión de relaciones con los proveedores (TPRM) y cuáles son los factores que impulsan su adopción; cómo se estructura un programa maduro a lo largo del ciclo de vida del proveedor; los beneficios cuantificables de aplicarlo correctamente; y los escollos de la implementación que, una y otra vez, frenan el avance de los programas, tanto si se está poniendo en marcha un programa por primera vez como si se está sometiendo a prueba uno ya existente.

  1. ¿Qué es la gestión de riesgos de terceros?
  2. El ciclo de vida de la gestión de riesgos de terceros: fases del proceso y flujo de trabajo
  3. Impulsores del programa de gestión de riesgos de terceros
  4. ¿Quién debe participar en la gestión de riesgos de terceros?
  5. Influencias reglamentarias de la GTRC en la gestión de riesgos
  6. El papel de la inteligencia artificial en la GTPR
  7. ¿Cuál es el valor de la GTPR?
  8. Implantación del programa de gestión de las relaciones con los clientes
  9. Preguntas frecuentes

¿Qué es la gestión de riesgos de terceros?

La gestión de riesgos de terceros (GTRP) es el proceso de identificar, evaluar y mitigar los riesgos asociados a la contratación de terceros externos, como vendedores, proveedores, contratistas y socios comerciales. Implica una diligencia debida para abordar los riesgos potenciales que podrían afectar a las operaciones, la salud financiera, la ciberseguridad, la situación jurídica o la capacidad de una organización para servir a sus clientes. Estos riesgos pueden abarcar incidentes de ciberseguridad, interrupciones de la cadena de suministro, escasez de mano de obra, inestabilidad financiera, factores políticos y conflictos regionales. La GTPR permite a las organizaciones gestionar los riesgos de forma proactiva y planificar respuestas en lugar de reaccionar a los problemas cuando surgen, lo que garantiza la continuidad del negocio y protege a las principales partes interesadas.

gráfico que explica cómo el riesgo de terceros puede ser multidimensional y afectar a su organización

El ciclo de vida de la gestión de riesgos de terceros: fases del proceso y flujo de trabajo

El valor de la gestión de riesgos de los proveedores (TPRM) comienza con el proceso de identificación de riesgos y se extiende a lo largo de todo el ciclo de vida de las relaciones entre su organización y sus proveedores. Desde la selección inicial de proveedores hasta la baja definitiva, cada etapa de su flujo de trabajo requiere una supervisión minuciosa.

El ciclo de vida del TPRM incluye:

  1. Búsqueda y selección: Esta fase incluye la evaluación de la capacidad de cada proveedor potencial para cumplir los requisitos de servicio o solución, así como la valoración de los riesgos básicos en materia de seguridad, privacidad, reputación y finanzas. Esto puede llevarse a cabo mediante evaluaciones basadas en cuestionarios, el acceso a bases de datos de información sobre proveedores o una combinación de ambos.

  2. Incorporación y alta:Una vezseleccionados los proveedores, se incorporan a un repositorio central mediante una carga manual o masiva. Esto puede realizarse a través de formularios de incorporación cumplimentados por las partes interesadas internas, importaciones de hojas de cálculo o una API conectada a una solución existente de gestión de proveedores o de compras.

  3. Puntuación del riesgo inherente: El riesgo inherente es el nivel de riesgo de un proveedor antes de tener en cuenta cualquier control específico que requiera su organización. Se recomienda evaluar el riesgo inherente de un proveedor mediante una valoración sencilla antes de concederle acceso a sus sistemas y datos. Esto también le permite determinar el nivel de diligencia debida necesario, así como la frecuencia y el alcance de las evaluaciones de riesgo posteriores.

  4. Evaluación de los controles internos: Las evaluaciones de controles pueden utilizarse durante la diligencia debida inicial y de forma periódica para cumplir los requisitos de auditoría. Los riesgos identificados durante el proceso de evaluación suelen puntuarse en función de su impacto, probabilidad y otros factores. Los resultados también pueden relacionarse con requisitos clave de otros marcos de cumplimiento y seguridad, como ISO, NIST o SOC 2.

  5. Supervisión de riesgos externos: Al recurrir a fuentes externas de información continua de terceros, se pueden cubrir las lagunas entre las evaluaciones periódicas y contrastar las respuestas a dichas evaluaciones con observaciones externas. La supervisión de riesgos puede incluir inteligencia cibernética, novedades empresariales, informes financieros, análisis de medios de comunicación, listas de sanciones globales, análisis de empresas de propiedad estatal, análisis de personas políticamente expuestas (PEP), notificaciones de incidentes de seguridad y mucho más.

  6. Acuerdo de nivel de servicio (SLA) y gestión del rendimiento: Las evaluaciones y el seguimiento pueden utilizarse para determinar si los proveedores cumplen con sus obligaciones a lo largo de la relación comercial. Por ejemplo, esto puede incluir evaluar su capacidad para cumplir con los SLA, aplicar medidas correctivas o cumplir los requisitos de cumplimiento normativo.

  7. Salida de la empresa y rescisión del contrato: Durante esta fase, las evaluaciones garantizan que se hayan cumplido todas las obligaciones finales. Esto puede incluir la revisión de contratos, la liquidación de facturas pendientes, la retirada del acceso a los sistemas y datos, la revocación del acceso a las instalaciones y la comprobación del cumplimiento de las normas de privacidad y seguridad.

A la hora de planificar tu estrategia de gestión de riesgos de proveedores (TPRM), ten en cuenta que las circunstancias de las partes pueden cambiar en cualquier momento durante la colaboración. Detectar y gestionar esos cambios es fundamental para el éxito de su organización. Los proveedores pueden modificar sus operaciones comerciales, su cadena de suministro de materiales clave puede verse interrumpida o las autoridades regionales pueden modificar los requisitos de importación y exportación. Por ejemplo, las leyes de protección de datos están cambiando rápidamente en todo el mundo. Todas estas situaciones se están produciendo en la actualidad, y las empresas que han implementado de forma eficaz un proceso de TPRM están prosperando, mientras que otras se están quedando atrás.

Dado el rápido ritmo de los cambios, surge la necesidad de que las organizaciones supervisen y realicen un análisis inicial de la información disponible casi en tiempo real para identificar y gestionar sus riesgos. Este requisito exige que algunos de los procesos automaticen la recopilación y la difusión de información sobre los proveedores externos. Una automatización eficaz permite a su departamento de gestión de riesgos de terceros (TPRM) identificar los riesgos e impulsar medidas correctoras antes de que su organización sufra daños a su reputación.

Impulsores del programa de gestión de riesgos de terceros

Existen varios requisitos normativos y de cumplimiento que exigen la gestión del riesgo de terceros y que pueden proporcionar un marco eficaz para mitigar el riesgo de los proveedores. Los requisitos normativos que impulsan los programas de gestión del riesgo de terceros (TPRM) abarcan un amplio espectro de mercados, proveedores y datos, y suelen depender del tipo de organización (por ejemplo, normativas y directrices de CMMC, EBA, FCA, FFIEC, HIPAA, NERC, NIST, NYDFS, OCC y otros), la ubicación de su organización (por ejemplo, requisitos de privacidad o de la carta constitutiva estatal) o la ubicación de sus clientes (por ejemplo, el RGPD o la CCPA). Lo fundamental que hay que comprender en relación con estos requisitos es garantizar que su programa tenga en cuenta qué datos está obligada a proteger su organización, dónde residen habitualmente sus clientes y los requisitos estándar que deben cumplir sus proveedores para prestar sus servicios. Incluya estos requisitos en sus acuerdos y extiéndalos a los proveedores que trabajen con los datos en cuestión.
La implementación de programas de TPRM por parte de las organizaciones viene determinada por lo siguiente:

  • Cumplimiento de los requisitos reglamentarios.
  • Riesgo de ciberseguridad.
  • Ventajas competitivas de un programa eficaz de GTPR.
  • Impulsores internos de las compras y la eficiencia.
  • Gestión del riesgo financiero y operativo interno.
  • Cumplir los requisitos de los clientes.

Independientemente del motivo específico de su organización para establecer un programa de GTPR, es fundamental identificar y trabajar con todas las partes interesadas internas, como ejecutivos, juntas, adquisiciones, auditoría interna, finanzas, TI, seguridad de la información, asuntos legales y cumplimiento, para establecer sus flujos de trabajo.

¿Quién debe participar en la gestión de riesgos de terceros?

A la hora de poner en marcha un programa de gestión de riesgos de terceros (TPRM), asegúrate de que todas las partes interesadas internas y externas afectadas participen en su diseño. Como mínimo, ten en cuenta a las siguientes personas como partes interesadas internas:

  • Ejecutivos (CEO, CFO, CIO, COO, CISO, etc.)
  • Consejo General
  • Miembros del Consejo
  • Auditores internos

Las partes interesadas externas constituyen otro grupo clave que hay que tener en cuenta a la hora de desarrollar tu programa. Entre las partes interesadas externas se incluyen:

  • Vendedores
  • Reguladores
  • Clientes

Desglose gráfico de las partes interesadas internas y externas que deben participar en los procesos de gestión de riesgos de terceros.

Dado que los programas de TPRM rara vez se ponen en marcha desde el inicio de una empresa, es importante tener en cuenta los acuerdos y programas existentes con proveedores externos y asegurarse de que se analicen a fondo en relación con el programa de TPRM propuesto. Hay que asegurarse de que se registren las discrepancias y de que se elabore un plan para abordar los riesgos no mitigados, cuyo cumplimiento se supervise hasta su finalización.

Influencias reglamentarias de la GTRC en la gestión de riesgos

Las normas reglamentarias son el motor principal de los programas de GTPR. Los programas normativos son específicos de:

  • Sanidad
  • Contratación pública
  • Aceptación de tarjetas de crédito
  • Servicios financieros
  • Banca
  • Fabricación

Gráfico de los principales sectores que regulan la gestión de riesgos de terceros.

Todo ello requiere la implantación de un proceso que abarque todo el ciclo de vida de la gestión de riesgos de terceros (TPRM). Estos requisitos suelen venir determinados por el tipo de datos sensibles que se recopilan en el desarrollo habitual de la actividad empresarial.

Un ejemplo destacado de este tipo de gestión de riesgos impulsada por la normativa es una parte importante de la norma industrial PCI-DSS, que define a los proveedores externos y exige que estos no transmitan «datos de los titulares de tarjetas, en nombre de clientes u organizaciones, a proveedores que puedan comprometer la seguridad de sus datos y su entorno». Esto significa que, si bien las empresas están obligadas a desarrollar por sí mismas el programa de ciberseguridad necesario, también deben supervisar los programas de ciberseguridad de los proveedores que gestionan el acceso a datos sensibles, incluso si dichos proveedores mantienen el riesgo por debajo de un umbral determinado.

Otro ejemplo son los programas federales y la contratación pública, que exigen una gestión estricta de la seguridad de todos los proveedores con acceso a la información. Este proceso va mucho más allá de los simples cuestionarios y del intercambio de documentación; también puede incluir análisis de los entornos internos y declaraciones legales de los directivos sobre las medidas de protección de datos vigentes. La complejidad de los terceros implicados, la posibilidad de que surjan conflictos de intereses y el riesgo de pérdidas económicas están llevando a las empresas a mejorar continuamente sus prácticas de gestión de riesgos y sus estrategias de mitigación de riesgos.

El modelo tradicional de gestión de riesgos de terceros (TPRM) se basaba en visitas in situ, la revisión manual de cuestionarios y evaluaciones dirigidas por consultores que se llevaban a cabo a intervalos definidos. Ese enfoque no puede seguir el ritmo de la magnitud y la distribución de las redes de proveedores actuales. Las organizaciones que gestionan cientos o miles de terceros en múltiples zonas geográficas necesitan una recopilación automatizada de datos, una supervisión continua y herramientas de flujo de trabajo para evaluar y realizar un seguimiento del riesgo de los proveedores a la velocidad que exige el entorno.

Si a las condiciones actuales les sumamos la creciente complejidad y el alcance de las cadenas de suministro, algo que aumenta rápidamente en la actualidad, esto simplemente no es viable utilizando los procesos que han dado buenos resultados tradicionalmente. Para tener éxito en la gestión de riesgos de los proveedores (TPRM), es necesario recurrir en mayor medida a la automatización y a herramientas diseñadas para recopilar y realizar un análisis inicial de los datos de los proveedores.

El papel de la inteligencia artificial en la GTPR

A medida que las organizaciones dependen cada vez más de las cadenas de suministro interconectadas y de las relaciones con terceros, es imperativo disponer de información exhaustiva sobre los riesgos y tomar decisiones oportunas. El crecimiento exponencial de los datos procedentes de diversas fuentes ofrece la oportunidad de aprovechar la IA y los análisis avanzados, lo que permite evaluaciones de riesgos más profundas, capacidades predictivas y supervisión en tiempo real. El aumento del escrutinio normativo y el incremento de las amenazas sofisticadas hacen aún más necesarios los enfoques de gestión de riesgos basados en datos y en IA.

La adopción de tecnologías relacionadas con la inteligencia artificial (IA) puede resultar fundamental para reforzar un programa moderno de gestión de riesgos de terceros (TPRM). Las capacidades de la IA agilizan los procesos de TPRM y de gestión de riesgos de proveedores (SRM), lo que permite adoptar un enfoque más eficiente y proactivo en redes complejas de terceros:

  • Automatización de tareas: Los sistemas basados en IA pueden agilizar las evaluaciones rutinarias de riesgos de terceros, el análisis de datos y la elaboración de informes. Esto mejora la eficiencia y la precisión, al tiempo que ayuda a los gestores de riesgos de terceros a centrarse en actividades de más alto nivel.
  • Análisis predictivo: Los modelos de IA pueden analizar datos históricos y patrones para predecir riesgos potenciales, ayudándote a tomar medidas proactivas para mitigarlos.
  • Detección de anomalías: Los algoritmos de IA pueden identificar patrones o comportamientos inusuales que pueden indicar fraude, brechas de seguridad u otros riesgos.

¿Cuál es el valor de la GTPR?

Un programa de gestión de riesgos de terceros aporta valor a lo largo de todo el ciclo de vida del proveedor, desde la selección inicial hasta la baja. Esto es lo que un programa consolidado aporta a tu organización:

  1. Visibilidad de terceros

    El TPRM ofrece una visión estructurada y centralizada de qué proveedores tienen acceso a sus sistemas y datos, los servicios que prestan y los riesgos que plantean. Sin esta visibilidad, las organizaciones no pueden evaluar con precisión su exposición a las interrupciones causadas por las redes de terceros y cuartos.

  2. Detección precoz de riesgos

    La combinación de evaluaciones periódicas con un seguimiento continuo permite a tu organización identificar los riesgos antes de que se conviertan en incidentes. Las organizaciones que detectan los problemas de forma temprana dedican menos tiempo a la gestión de crisis y más tiempo a la toma de decisiones deliberadas sobre los riesgos.

  3. Cumplimiento de la normativa

    La mayoría de los principales marcos normativos —entre ellos, la HIPAA, la norma PCI DSS, el RGPD y el CMMC— exigen pruebas documentadas de los controles de riesgos de terceros. Un programa estructurado de gestión de riesgos de terceros (TPRM) genera los registros de evaluación, las pistas de auditoría y la documentación de las medidas correctivas que esperan los organismos reguladores y los auditores.

  4. Protección de la reputación

    Los incidentes relacionados con terceros tienen consecuencias para la reputación que van mucho más allá de la propia relación con el proveedor. Las organizaciones que cuentan con programas maduros de gestión de riesgos de terceros (TPRM) tienen muchas menos probabilidades de sufrir un daño a su marca tras una violación de seguridad que haya salido a la luz pública o un incumplimiento normativo relacionado con un proveedor.

  5. Ventaja competitiva

    Las organizaciones que pueden demostrar una estrategia madura de gestión de riesgos de los proveedores (TPRM) gozan de una preferencia cada vez mayor por parte de los compradores empresariales, los sectores regulados y los socios que llevan a cabo sus propios procesos de diligencia debida con respecto a los proveedores. Sus controles de riesgo se convierten en un factor diferenciador en las decisiones de contratación.

  6. Resistencia operativa

    Cuando se producen acontecimientos de gran envergadura que alteran las cadenas de suministro —como crisis geopolíticas, desastres naturales y conflictos regionales—, las organizaciones que cuentan con programas activos de gestión de riesgos de proveedores (TPRM) están mejor preparadas para identificar rápidamente los riesgos, poner en marcha planes de contingencia y garantizar la continuidad del servicio a sus clientes.

  7. Rentabilidad

    Un programa de gestión de riesgos de terceros (TPRM) bien estructurado reduce el coste que supone la detección de riesgos en fases avanzadas, las sanciones normativas y la respuesta ante incidentes. Realizar la diligencia debida desde el principio resulta considerablemente más económico que subsanar una violación de la seguridad, una auditoría fallida o una interrupción provocada por un proveedor una vez que se ha producido.

  8. Decisiones fundamentadas sobre proveedores

    TPRM proporciona la base de datos necesaria para tomar mejores decisiones empresariales sobre con qué proveedores colaborar, con qué nivel de tolerancia al riesgo y en qué condiciones contractuales. La selección de proveedores basada en el riesgo reduce la exposición en todas las relaciones con terceros que gestiona su organización.

Tu programa de TPRM no tiene por qué empezar desde cero

Consigue la guía de 10 pasos para crear y perfeccionar tu programa de gestión de riesgos de terceros.

Descargar el marco de referencia

Implantación del programa de gestión de las relaciones con los clientes

Una vez que haya decidido implantar un programa de gestión de las relaciones con los clientes, deberá plantearse una serie de preguntas importantes que constituirán la base de su programa. Estas preguntas incluyen:

  • ¿Contrata a un socio para que le ayude a poner en marcha y aplicar el programa?
  • ¿Cómo gestiona las expectativas de sus interlocutores internos?
  • ¿Necesita asignar responsabilidades en caso de violación de datos?
  • ¿Cuáles son los requisitos exactos que deben cumplir los terceros para hacer negocios?
  • ¿Comprenden las partes interesadas externas los requisitos y pueden aplicarlos?
  • ¿La imposición de estos requisitos modificará la relación financiera con los proveedores?
  • ¿Cómo se extiende este programa a las relaciones existentes?

Las organizaciones deben centrarse en reunir a las personas, los procesos y las tecnologías adecuados para poner en marcha un programa de gestión de riesgos de terceros. Comprender el equilibrio y los requisitos de cada una de estas funciones es fundamental para el buen funcionamiento de su programa.

Para abordar las exposiciones al riesgo en entornos TPRM, debe habilitar normas y lenguaje organizativos en las siguientes áreas:

Gráfico en el que se señalan las principales áreas de interés del MEPC.

  • Establecer los requisitos de los contratos y acuerdos de nivel de servicio para abordar los compromisos relacionados con los riesgos.
  • Analice el perfil de riesgo del proveedor con el perfil de riesgo del encargo o del servicio prestado.
  • Habilitar un proceso de elaboración de informes impulsado por la supervisión dinámica y la evaluación de riesgos basada en sucesos.
  • Combina los enfoques de evaluación periódica de riesgos ( basados en información facilitada por los propios interesados) y de seguimiento continuo de riesgos (basados en información facilitada por terceros) para lograr una identificación de riesgos de principio a fin.
  • Implantar soluciones tecnológicas para integrar la gestión de adquisiciones, resultados y riesgos en una plataforma unificada que proporcione a las partes interesadas información actualizada bajo demanda para satisfacer sus necesidades específicas.

Es importante señalar que, a la hora de establecer relaciones con las partes interesadas internas y externas, no todos los incentivos tienen por qué ser punitivos o restrictivos. El establecimiento de requisitos contractuales o de acuerdos de nivel de servicio debe incluir estándares mínimos de rendimiento, pero también puede incluir «recompensas» por el cumplimiento de funciones críticas de gestión de riesgos. Además, el análisis de los requisitos del proveedor frente a los de su organización puede reportar enormes beneficios para ambas partes. Al aprovechar el cumplimiento normativo ya existente, es posible reducir los costes para ambas partes en beneficio mutuo.

Una implementación eficaz de la gestión de riesgos de terceros (TPRM) requiere la tecnología adecuada y la infraestructura organizativa que la respalde: flujos de trabajo documentados, tolerancias de riesgo definidas, consenso entre las partes interesadas sobre los criterios de escalación y un plan para integrar las relaciones con los proveedores que ya están en marcha. Las organizaciones que maduran rápidamente suelen empezar con un ámbito de aplicación reducido y bien gestionado, y luego lo amplían. No obstante, tanto si se está desarrollando de forma incremental como si se está poniendo en marcha un programa completo, contar con el socio adecuado puede acelerar tanto el diseño como la ejecución.

Descubre cómo Mitratech TPRM puede ayudarte a ampliar y optimizar la gestión de riesgos de proveedores

Empieza aquí

Preguntas frecuentes

¿En qué consiste la puntuación del riesgo inherente en la gestión de riesgos de los proveedores (TPRM)?
La puntuación
del riesgo inherentemide el riesgo que supone un proveedor en función de sus controles internos y prácticas empresariales, antes de que se apliquen los requisitos específicos de su organización. Determina el nivel adecuado de diligencia debida y establece la frecuencia y el alcance de las evaluaciones posteriores. Un proveedor con acceso a datos confidenciales de los clientes y sin un programa de seguridad formalizado tendrá una puntuación de riesgo inherente más alta que uno que cuente con una certificación de auditoría externa.

¿Cuál es la diferencia entre las evaluaciones periódicas de riesgos y la supervisión continua de riesgos?
Las evaluaciones periódicasson valoraciones estructuradas, basadas en cuestionarios, que se llevan a cabo a intervalos definidos, como durante la incorporación, anualmente o en la renovación del contrato. La supervisión continua recurre a fuentes de información externas casi en tiempo real para detectar riesgos cibernéticos, financieros y de reputación entre un intervalo y otro. Juntas, ofrecen una visión más completa del riesgo de los proveedores que la que proporciona cualquiera de los dos enfoques por separado.

¿Qué papel desempeñan las normativas en la gestión de riesgos de terceros (TPRM)?
Los marcos normativos de distintos sectores —como la HIPAA para la sanidad, la norma PCI DSS para el procesamiento de pagos, el RGPD para la protección de datos y el CMMC para la contratación pública federal— exigen controles específicos de riesgos de terceros que las organizaciones deben aplicar a sus proveedores. En muchos casos, la organización principal es responsable del incumplimiento normativo por parte de sus proveedores, y no solo del propio. Un programa estructurado de gestión de riesgos de terceros (TPRM) proporciona la documentación y los registros de auditoría que esperan los organismos reguladores.

¿Qué herramientas se utilizan para la gestión de riesgos de terceros?
Los programas de TPRM suelen basarse en plataformas de gestión de cuestionarios y evaluaciones, soluciones de supervisión continua, redes de inteligencia sobre proveedores y herramientas de automatización de flujos de trabajo que canalizan las evaluaciones y realizan un seguimiento de las medidas correctivas. Las organizaciones que utilizan procesos manuales suelen señalar una identificación más lenta de los riesgos y mayores índices de errores en las evaluaciones. Compara las plataformas líderes o revisa los principales enfoques de TPRM si aún estás evaluando qué modelo se adapta mejor a tu programa.

Nota del editor: Esta entrada se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió Prevalent, una plataforma de gestión de riesgos de terceros basada en inteligencia artificial. El contenido se actualizó en mayo de 2026 para incluir información acorde con nuestra oferta de productos, los cambios normativos y los requisitos de cumplimiento.