El Estudio Mitratech 2025 sobre Gestión del Riesgo de Terceros (TPRM) transmite un mensaje claro: el panorama del riesgo de terceros está evolucionando hacia un ecosistema complejo e interconectado, en el que cada vendedor, proveedor y socio desempeña un papel vital. A medida que este ecosistema crece, las organizaciones se ven sometidas a una presión cada vez mayor para adaptarse.
El estudio, en el que se encuestó a profesionales de diversos sectores y tamaños de empresa, pone de relieve un sector en una encrucijada crucial, en la que los cambios en el clima normativo, la adaptación tecnológica y el desequilibrio operativo amenazan la salud del sistema.
A continuación, analizamos las principales conclusiones del estudio y lo que revelan sobre el estado de los ecosistemas de terceros en la actualidad, y cómo las organizaciones con capacidad de recuperación están cultivando entornos de riesgo más sólidos y equilibrados.
Conclusión nº 1: Falta de personal y de preparación: Una crisis de recursos
En cualquier ecosistema, la escasez de cuidadores y el crecimiento excesivo de especies descontroladas pueden provocar desequilibrios. En TPRM, esto se refleja en casi el 70% de los equipos que informan de falta de personal, con una brecha de casi el 30% entre el tamaño de los equipos existentes y el ideal. Como resultado, las organizaciones sólo gestionan alrededor del 40% de su población de vendedores.
Al igual que un bosque sin gestionar con formas de vida en competencia, la falta de coordinación agrava el riesgo. Menos del 25% de los programas están "muy coordinados", y casi la mitad citan los silos departamentales como un obstáculo importante. La propiedad del riesgo está fragmentada: los equipos de seguridad de la información y de riesgos supervisan la estrategia, el departamento de compras gestiona la base de datos de proveedores y las unidades de negocio mantienen las relaciones cotidianas, a menudo con escasa comunicación.
Implicación: Sin una gestión alineada, el ecosistema de terceros se enreda. Para prosperar, las organizaciones deben coordinar funciones y fomentar la propiedad compartida en todo el ciclo de vida del proveedor.
Conclusión nº 2. La presión normativa reconfigura el panorama de la GPAE
Al igual que un cambio repentino en los patrones climáticos altera un hábitat natural, el escrutinio normativo está alterando el entorno de la GTPR. Los equipos de cumplimiento, antes observadores periféricos, actúan ahora como reguladores del ecosistema, y su presencia en la GTPR pasará del 42 % en 2023 al 88 % en 2025.
Esta creciente influencia está impulsando una mayor responsabilidad y una mejor administración de los datos. A medida que las organizaciones responden a la evolución del clima normativo en torno a la privacidad de los datos y la resiliencia operativa, están reequilibrando las responsabilidades internas y ampliando su supervisión de los ecosistemas de proveedores.
Implicaciones: La regulación ha dejado de ser un ruido de fondo para convertirse en una fuerza climática dominante. Los programas deben integrar el cumplimiento en su ADN operativo para garantizar la adaptabilidad y la salud de los ecosistemas a largo plazo.
Conclusión nº 3. La ciberseguridad sigue dominando, pero los horizontes de riesgo se amplían
Al igual que los ecosistemas dependen de especies clave, la ciberseguridad sigue siendo el riesgo más vigilado (85%). Pero los gestores de riesgos están ampliando su vigilancia para incluir la privacidad de los datos (79%), el cumplimiento (70%) y la continuidad del negocio (64%), reconociendo la naturaleza simbiótica e interdependiente del riesgo moderno.
Departamentos como los de seguridad de la información, gestión de riesgos y privacidad de datos se están convirtiendo en administradores más comprometidos con el ecosistema, lo que refleja un cambio hacia la gestión de una gama más amplia de amenazas en todo el panorama de la organización.
Implicaciones: La GTPR debe evolucionar para reflejar la biodiversidad del riesgo, ampliando la visibilidad y reforzando la cooperación interdepartamental en toda la empresa.
Conclusión nº 4. Las herramientas manuales socavan la comprensión y la preparación ante incidentes
En un ecosistema, unas herramientas de vigilancia inadecuadas pueden hacer que se pasen por alto los primeros signos de desequilibrio, ya sea un brote de enfermedad en una población o un cambio en la calidad del agua. Lo mismo ocurre en la GTPR. A pesar de su creciente complejidad, el 41% de las organizaciones sigue confiando en hojas de cálculo para evaluar a terceros. Aunque el 60% considera que estas herramientas satisfacen las necesidades básicas, sólo el 29% puede determinar el riesgo en cada etapa del ciclo de vida del proveedor, y sólo el 15% se siente preparado para responder a incidentes con terceros.
Este mosaico de herramientas -a menudo carentes de integración- limita la visibilidad, perturba la agilidad e impide una gestión proactiva.
Implicación: Las herramientas obsoletas equivalen a vigilar un bosque con lupa. Para construir un ecosistema de riesgos resiliente y adaptable, las organizaciones deben invertir en plataformas integradas que permitan obtener información exhaustiva en tiempo real.
Conclusión nº 5. La IA en la GPAE: un optimismo cauto se topa con obstáculos de aplicación
La inteligencia artificial está emergiendo como una nueva y poderosa especie dentro del ecosistema de la gestión de riesgos tecnológicos, con el potencial de automatizar tareas, acelerar el conocimiento y centralizar los datos de riesgos. En la actualidad, el 14% de los programas utiliza activamente la IA, y el 65% está explorando sus posibilidades.
Sin embargo, persiste la cautela. La preocupación por la seguridad de los datos, la opacidad de los algoritmos y la falta de supervisión humana hacen que muchas organizaciones todavía estén tanteando el terreno. Aun así, se están sentando las bases: solo el 12 % cita ahora la falta de una estrategia de IA como un obstáculo, frente al 49 % en 2024.
Implicaciones: La IA es un organismo prometedor pero sensible en el hábitat del TPRM. Su introducción, gestión y seguimiento cuidadosos serán fundamentales para aprovechar todo su potencial sin alterar el equilibrio.
Reequilibre su ecosistema de riesgos de terceros
Estudio anual sobre gestión de riesgos de terceros 2025
Leer el informe completoMirando hacia el futuro: El auge de la gestión de riesgos conectada
El estudio revela un sector que reconoce el valor de un ecosistema de riesgos interconectado y simbiótico. Las organizaciones con visión de futuro son:
- Acabar con los compartimentos estancos mediante una gobernanza interfuncional
- Integrar el cumplimiento en los flujos de trabajo de riesgo como salvaguardia estructural
- Aprovechar la automatización y la IA para reforzar la resistencia de los ecosistemas
- Ampliar la supervisión de riesgos para tener en cuenta una gama más amplia de amenazas "medioambientales".
Recomendaciones para la creación de un programa PMRT resistente
Para mantener el equilibrio y la sostenibilidad de sus ecosistemas de terceros, las organizaciones deben tener en cuenta las siguientes buenas prácticas:
1. Establecer una gobernanza interfuncional
Unificar el riesgo, el cumplimiento, las adquisiciones y la seguridad informática en un marco compartido con protocolos de propiedad claros.
2. Operacionalizar la IA de forma reflexiva
Empiece poco a poco con la IA: aplíquela en áreas de bajo riesgo mientras establece políticas de transparencia, supervisión y seguridad.
3. Automatizar para compensar las carencias de recursos
Identificar los cuellos de botella manuales y dar prioridad a la automatización en las funciones de evaluación, supervisión y elaboración de informes.
4. Integrar el cumplimiento en los flujos de trabajo de riesgos
Integre los requisitos normativos en sus procesos de diligencia debida y supervisión para adelantarse a las exigencias de las auditorías.
5. Adoptar evaluaciones de riesgo por niveles
Segmente a los proveedores por nivel de riesgo y aplique evaluaciones proporcionadas utilizando fuentes de inteligencia tanto tradicionales como dinámicas.
Próximos pasos: Cultive su ecosistema de GPRT
Al igual que los biólogos entienden que los ecosistemas son frágiles y están interconectados, los profesionales del riesgo deben darse cuenta de que la capacidad de recuperación no procede de parcelas aisladas de excelencia, sino de la conexión. Su organización no es un organismo solitario: forma parte de algo mucho mayor. Es hora de cuidar su ecosistema.
Permítanos ayudarle a cultivar un entorno más seguro, inteligente y sostenible para su amplia empresa.
