Evite estos 5 errores en la gestión de riesgos de proveedores

Incluso los programas de gestión de riesgos de proveedores más maduros pueden verse afectados por la complejidad y una planificación deficiente. Utilice esta lista de verificación para evaluar el estado actual de sus procesos de VRM y determinar en qué aspectos puede mejorar.

Según mi experiencia en la creación de programas de gestión de riesgos de proveedores en varias empresas, hay cinco categorías de «trampas» que los equipos de gestión de riesgos deben tener en cuenta. Estas trampas incluyen desde no disponer de información de contacto sencilla de los proveedores hasta no presentar las métricas de riesgo adecuadas al consejo de administración. Cada una de ellas puede provocar retrasos en la incorporación, riesgos no detectados e incumplimientos normativos si no se abordan de inmediato.

Para ayudarte a evitar algunos de los mismos errores que yo he cometido, he elaborado una lista de preguntas que debes hacer y aspectos que debes investigar.

1. No conocer su universo de proveedores

Si no sabes quiénes son tus proveedores, ¿cómo puedes evaluarlos?

¿Qué tan completa es su lista de proveedores? ¿Conoce a sus proveedores y el número total de proveedores?
¿Hay varios departamentos que incorporan proveedores? (Por ejemplo, las autorizaciones de 5000 dólares permiten a cualquier persona adquirir un servicio).
¿Tienes los datos de contacto de todos los proveedores?
¿Quién es la persona de contacto de la empresa?
¿Quién asume el riesgo en la relación con el proveedor?
¿Entiende el compromiso con el proveedor (por ejemplo, qué servicio prestan)?
¿Se pueden «seguir los datos» del servicio hasta la enésima parte?
¿Su proceso actual da la impresión de que la gestión de riesgos de los proveedores es un obstáculo en lugar de un facilitador?
¿Las decisiones de selección, incorporación y renovación se toman basándose en datos de perfiles, riesgos inherentes y riesgos residuales?

2. Deficiencias del programa

Sin controles imprescindibles, ¿con qué se compara la evaluación?

¿Qué criterios se utilizan para tomar decisiones sobre la clasificación por niveles? ¿El gasto, el compromiso, la tolerancia al riesgo?
¿Qué criterios se utilizan para tomar decisiones de diligencia debida? ¿Por los datos que maneja el proveedor (por ejemplo, sensibles, confidenciales, privados) o por la categoría de servicio prestado?
¿Cómo identifica y revisa los controles que son importantes para su negocio?
¿Tienes un comité directivo para ayudar a tomar decisiones?
¿Quiénes son los propietarios del control?
¿Cuál es el nivel de competencia del personal interno? ¿Existe un manual de estrategias para ayudarles a gestionar los procesos y las incidencias?

3. Requisitos complejos para la diligencia debida

¿Qué grado de dificultad y coste tienen sus evaluaciones?

¿Qué proceso de gestión de solicitudes/peticiones tienen implementado? ¿Correo electrónico? ¿Cómo se recopilan los atributos importantes de los proveedores?
¿Qué grado de transparencia tiene el proceso de solicitud de proveedores?
¿Cuántos cuestionarios diferentes se están utilizando para evaluar a los proveedores? ¿Existen oportunidades para consolidarlos?
¿Cómo gestionas la sobrecarga de información? ¿Existe algún proceso para asociar las respuestas a los cuestionarios con una validación externa (por ejemplo, puntuaciones de amenazas o alertas)?
¿Se utiliza la diligencia debida en la adquisición o el abastecimiento para la selección de proveedores?

4. Puntuación y disposición de riesgos poco claras

¿Cómo armoniza los resultados de los cuestionarios y la información sobre amenazas de los proveedores?

¿Se tienen en cuenta el impacto y la probabilidad al calcular las puntuaciones de riesgo?
¿Existen umbrales para identificar qué riesgos requieren atención? (La alternativa es que se revisen todos los riesgos y se requiera una respuesta por parte del proveedor, lo que provoca retrasos y pérdidas).
¿Las recomendaciones y los plazos para la corrección de riesgos están claros para todas las partes (evaluadores, proveedores, etc.)?
¿Cómo se realiza el seguimiento de los riesgos hasta su cierre?
¿Se han identificado los propietarios de las empresas en relación con los riesgos?
¿Existe algún proceso o flujo de trabajo de excepción/disposición?
¿Existe alguna forma de medir la eficacia de la reducción del riesgo a lo largo del tiempo? (Por ejemplo, ¿se dispone de indicadores de riesgo o hitos?)

5. No hay métricas ni informes de KPI y KRI.

Si no es denunciable, ¿cómo se cambia la cultura?

¿La organización trabaja de forma aislada? Si es así, ¿cómo se está reduciendo la brecha mediante la presentación de informes sobre riesgos?
¿Qué indicadores clave de rendimiento (KPI) se utilizan para medir la eficacia del programa TPRM o de los proveedores?
¿Se comunican, comprenden y cumplen los objetivos de nivel de servicio?
¿Se han establecido indicadores clave de riesgo (KRI) para medir la reducción del riesgo en tiempo real y su evolución a lo largo del tiempo?
¿Cómo se realiza el seguimiento y la notificación de los riesgos?
¿Los informes se crean manualmente? Si es así, ¿qué podría faltar?
¿Qué métricas y estado de riesgo se presentan al consejo? ¿Se utilizan para respaldar decisiones basadas en datos?

Estas cuestiones y preguntas ciertamente no son exhaustivas, pero representan los obstáculos más comunes a los que se enfrentan muchos programas de gestión de riesgos de proveedores a medida que evolucionan sus procesos.

Descargue nuestro informe técnico, «Navegando por el ciclo de vida del riesgo de los proveedores: claves para el éxito en cada etapa», para conocer más prácticas recomendadas, o solicite una demostración para analizar los requisitos de su programa con nuestros expertos.

Nota de la Redacción: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido se ha actualizado desde entonces para incluir información alineada con nuestras ofertas de productos, cambios normativos y cumplimiento.