El caso de la gestión descentralizada de riesgos de terceros
Ahora que entramos en el tercer trimestre de nuestro descontento con la pandemia mundial del Coronavirus, una cosa está muy clara: la gestión centralizada de los riesgos de los proveedores está implosionando.
Esta conclusión se basa en las revelaciones de quienes hablaron públicamente sobre el tema, por ejemplo en la conferencia Mitratech Interact celebrada en septiembre: El reto pandémico para la gestión de riesgos de proveedores es garantizar el compromiso de los propietarios de empresas para mantener el pulso de sus proveedores críticos de productos y servicios.
Hasta este punto, para muchos propietarios de empresas, su responsabilidad en la gestión de proveedores era la plétora de formularios, aprobaciones y/o renuncias para obtener la autorización para adquirir el producto o servicio de la empresa que ya habían seleccionado; después de todo, ellos son los expertos en la materia. Probablemente, esto significaba que alguien con un nivel salarial superior sería la firma acreditativa del contrato, y que una vez que el guante estaba en el retrovisor, todo estaba despejado por delante durante al menos un año.
La gestión de proveedores reaparecía como una molestia repetitiva en forma de actualizaciones periódicas de plantillas y adquisición de los documentos necesarios proporcionados por el proveedor para garantizar que todas las casillas pudieran marcarse, o siguieran marcándose. Aparte de la validación del rendimiento del proveedor, a la que está ligado el éxito del empresario, gran parte del esfuerzo de gestión de proveedores quedaba fuera de las áreas de experiencia del empresario.
Esto se debe a que la gestión de proveedores es un ejercicio colectivo. Es la reunión de opiniones en un plano horizontal del pueblo de expertos en la materia que operan dentro de la mayoría de las organizaciones en sus propios feudos orientados verticalmente. El empresario no es más que una de las muchas opiniones con un papel poco dominante.
El nuevo orden de cosas en la gestión de riesgos de los proveedores
El problema de la gestión centralizada de proveedores ha sido siempre la dotación de personal. Al consolidar los pasos y prácticas de revisión necesarios, una organización podía controlar el programa y presentar a cualquier auditor o regulador la disciplina y autoridad ejercidas en la gestión de la documentación de proveedores. Pero requería mucha mano de obra si se domiciliaba en manos de unos pocos.
Ahora que nos encontramos en medio de un "cisne negro", la gestión de la documentación es trivial, en comparación con el compromiso y la visibilidad de los proveedores que hacen posible que su empresa funcione cada semana, cada día e incluso cada hora. Ahora necesitamos que muchos estén comprometidos y capacitados.
En los modelos de riesgo existe una definición de primera y segunda línea de defensa. La gestión de proveedores no puede aceptar y asumir ambos papeles de defensa simultáneamente. La primera línea de defensa definitoria, los propietarios de la empresa que realmente conocen y son responsables del modelo de negocio, debe participar. Es probable que ahora resulte evidente que su negocio puede depender de ello.
Un nuevo enfoque
Ha surgido un nuevo enfoque. ¿Dispone mi proveedor del personal adecuado para operar y prestar servicios a nuestra empresa? ¿Cómo altera la exposición al riesgo de seguridad de la información el cambio de residencia del personal y la conectividad de las operaciones del proveedor? ¿Cómo debemos redefinir los servicios esenciales? ¿Es necesario revisar los contratos? ¿Tenemos acuerdos de nivel de servicio adecuados y opciones de salida (tal y como se definen para las instituciones financieras en el Apéndice J del Manual de examen de la FFIEC hace más de cinco años)?
¿Cómo deben cambiar las políticas y procedimientos con el proveedor y dentro de nuestra organización para aceptar una tolerancia al riesgo cambiante? ¿A alguien le preocupa el riesgo de concentración de proveedores ahora que hay bloqueos en todo el país y puntos virales? ¿Cómo se supervisa y valida la exposición a la ciberseguridad y la resistencia de los proveedores?
Estas son las preguntas a las que hay que responder, en lugar de simplemente si su proveedor tiene una carta puente de auditoría para el informe SOC del año pasado. Los propietarios de las empresas tienen ahora más cartas en el asunto. Y las organizaciones de gestión de proveedores tienen que ceder y garantizar la responsabilidad delegada de este proceso empresarial crítico a los propietarios de las empresas; ya no se definen a sí mismas como las únicas con una posición centralizada para aplacar los requisitos normativos. El riesgo de terceros es real y ya no es un pasatiempo.

Defiéndase contra los riesgos de proveedores y empresas
Conozca nuestras soluciones VRM/ERM, las mejores de su categoría.