Comprender la diligencia debida respecto a terceros: Guía completa

Obtenga información temprana y procesable sobre los riesgos de vendedores y proveedores con una sólida estrategia de diligencia debida de terceros.

Personal de Mitratech
Personal de Mitratech Febrero 15, 2024 8 min leer

La diligencia debida respecto a terceros es una parte esencial de un programa integral de gestión de riesgos de terceros. Una estrategia sólida de diligencia debida proporciona información en una fase temprana para tomar decisiones más informadas sobre la contratación de proveedores, clasifica a los proveedores en función de su riesgo potencial y combina evaluaciones de riesgos puntuales con una supervisión continua a lo largo de toda la relación comercial.

¿Qué es la diligencia debida respecto a terceros?

La diligencia debida respecto a terceros es el proceso de investigar y evaluar los riesgos de trabajar con vendedores y proveedores, un primer paso fundamental en la gestión de riesgos respecto a terceros. Para garantizar la resistencia operativa, el cumplimiento y la seguridad, la diligencia debida requiere recopilar y analizar datos sobre los riesgos de seguridad, financieros, operativos y de reputación que un tercero podría plantear a la organización.

Aunque la diligencia debida de terceros desempeña un papel esencial a lo largo de todo el ciclo de vida del proveedor, es especialmente importante durante las fases de abastecimiento y selección, así como durante la admisión y la incorporación.

Directrices clave para la diligencia debida de terceros en la contratación y la selección

Durante el proceso de búsqueda y selección de nuevos proveedores, puede ser muy valiosa la realización de una diligencia debida preliminar sobre los terceros que se están considerando. Aunque es posible que no disponga de los recursos necesarios para llevar a cabo revisiones en profundidad de cada posible proveedor, es importante recopilar información inicial para calibrar el riesgo perfilado. El riesgo perfilado es el nivel de riesgo potencial de un proveedor basado en su ubicación, sector, uso de terceros, propiedad y otra información observable externamente, como las finanzas y la reputación.

Considere la posibilidad de formular las siguientes preguntas de diligencia debida durante el proceso de contratación y selección:

  • ¿A qué sistemas informáticos, datos e infraestructuras podría acceder el proveedor para ejecutar su contrato con mi organización? (Esta pregunta le informa del riesgo perfilado del proveedor y le ayuda a establecer un nivel con el proveedor para garantizar la realización adecuada de la diligencia debida a terceros).
  • ¿Ha recibido el proveedor certificaciones de marcos de seguridad de la información como NIST CSF, SOC 2 o ISO 27001?
  • ¿Se ha enfrentado el tercero a acusaciones públicas de malas prácticas ASG, o tiene documentadas infracciones de cumplimiento ASG? La mala reputación de un proveedor puede convertirse en un lastre para su empresa.
  • ¿Cuál es la situación financiera del proveedor? La calificación crediticia y otros parámetros financieros proporcionan información sobre la viabilidad del proveedor. Pueden poner de manifiesto un posible problema de resistencia de la empresa si no puede pagar a sus proveedores o cobrar de sus clientes.

Prácticas esenciales de diligencia debida respecto a terceros durante la admisión e incorporación de proveedores

La admisión e incorporación de proveedores representa la oportunidad de su organización para llevar a cabo una diligencia debida más amplia. Muchas organizaciones se basan en cuestionarios detallados sobre el riesgo de los proveedores para conocer mejor sus controles de seguridad de la información, sus proveedores externos y sus prácticas ASG. Los programas TPRM maduros ampliarán sus iniciativas de diligencia debida de admisión e incorporación basándose en el nivel de riesgo perfilado del proveedor.

Estas son algunas de las mejores prácticas para llevar a cabo la diligencia debida de los proveedores durante la admisión y la incorporación:

  • Utilizar un cuestionario de riesgo del proveedor que examine la postura de riesgo del proveedor, los controles de seguridad de la información y la cadena de suministro ampliada (también conocida como cuarta o enésima parte).
  • Revisar la cobertura de seguro del tercero, como responsabilidad civil profesional, responsabilidad civil general y seguro cibernético.
  • Revisar detalladamente las políticas del proveedor en materia de violación de datos y respuesta a incidentes, centrándose específicamente en los requisitos de notificación.
  • Comprobar los antecedentes del personal clave que ejecutará el contrato
  • Revisar las políticas de conservación y destrucción de datos del tercero.

¿Por qué es importante la diligencia debida con terceros?

La gestión eficaz del riesgo de terceros es un reto importante para casi todas las organizaciones. La gestión del riesgo de terceros requiere un enfoque que tenga como objetivo comprender y mitigar el riesgo a lo largo del ciclo de vida del riesgo del proveedor. Llevar a cabo una diligencia debida eficaz sobre terceros permite identificar los riesgos antes de firmar contratos y comprometer importantes recursos financieros y tiempo.

La diligencia debida de terceros también descubre riesgos ocultos en la cadena de suministro, como prácticas ESG deficientes o riesgo de concentración. Un programa maduro utiliza la diligencia debida para obtener visibilidad de su ecosistema de terceros, identificar riesgos inaceptables y exigir medidas correctoras.

¿Qué tipos de riesgos puede detectar la diligencia debida a terceros?

Una diligencia debida eficaz por parte de terceros es clave para identificar numerosos riesgos para su organización. Estas son algunas de las principales categorías de riesgo a tener en cuenta:

Diligencia debida respecto a terceros y riesgo para la seguridad de la información

Aunque su organización invierta importantes recursos en su programa de seguridad informática, puede seguir siendo un enorme reto proteger su cadena de suministro cibernética contra las filtraciones de datos de terceros, los ataques de ransomware y otros riesgos de seguridad. Esta tarea se complica aún más a medida que su cadena de suministro se vuelve más compleja o depende en gran medida de asociaciones multinacionales.

Su proceso de diligencia debida de terceros debe evaluar a los posibles proveedores y vendedores para detectar grados inaceptables de riesgo de ciberseguridad que puedan poner en peligro sus datos críticos o su infraestructura de TI. Esto debe incorporar una evaluación inicial del riesgo del proveedor, seguida de una supervisión continua del riesgo en Internet y la web oscura para obtener información sobre nuevas vulnerabilidades, violaciones de datos y pruebas de credenciales filtradas.

Considere la posibilidad de aprovechar un marco de ciberseguridad comúnmente aceptado, como NIST, ISO, el SIG de Evaluaciones Compartidas o SOC 2, para delimitar el alcance de las preguntas de evaluación de riesgos de su proveedor. A continuación, enmarque los resultados de esta evaluación en un marco de mejores prácticas que se alinee con el resto de la estrategia de gestión de riesgos empresariales de su organización.

Diligencia debida de terceros y riesgo ESG

Las preocupaciones medioambientales, sociales y de gobernanza (ASG) de las empresas son cada vez más importantes tanto para los consumidores como para los inversores corporativos. Las cuestiones ASG preocupan especialmente a las organizaciones con muchos proveedores, ya que las extensas cadenas de suministro mundiales pueden implicar a veces trabajo forzado, degradación del medio ambiente y/o corrupción. Antes de dar de alta a un posible vendedor o proveedor, he aquí algunas preguntas que pueden ser útiles:

  • ¿Publica periódicamente el vendedor o proveedor información sobre sus prácticas en la cadena de suministro, tal como exige la normativa ASG?
  • ¿Tiene el vendedor o proveedor un historial de malas prácticas o infracciones en materia de ASG que puedan suponer un riesgo ético o para la reputación de la organización?
  • ¿Dispone el vendedor o proveedor de procesos de gobernanza para gestionar el riesgo ASG en toda su cadena de suministro ampliada?
  • ¿Tiene el proveedor una fuerte concentración de proveedores o vendedores terceros en países con un historial de corrupción, degradación medioambiental o abusos de los derechos humanos?

Diligencia debida de terceros y riesgos operativos

Los riesgos operativos pueden adoptar muchas formas, pero normalmente se reducen a que el tercero sea incapaz de cumplir sus obligaciones contractuales. Algunos terceros, como los que suministran bienes y servicios no críticos, pueden plantear riesgos operativos relativamente bajos. Sin embargo, otros, como los proveedores de TI, los proveedores de SaaS y los proveedores de componentes críticos, pueden plantear un gran riesgo operativo y deben contar con las medidas de resiliencia empresarial adecuadas para garantizar la continuidad.

Considere la posibilidad de formular preguntas durante la diligencia debida a terceros para calibrar el grado de riesgo operativo que plantea la organización:

  • ¿Tiene el tercero un alto grado de endeudamiento en comparación con sus ingresos?
  • ¿Dispone el tercero de un plan sólido de continuidad de la actividad y recuperación en caso de catástrofe? ¿Se comprueba periódicamente mediante ejercicios de simulación?
  • ¿Depende el tercero en gran medida de determinados vendedores o proveedores, lo que podría afectar a su capacidad para suministrar bienes y servicios si se produjera un corte o interrupción?
  • ¿Tiene el tercero su sede en una zona con un alto grado de riesgo medioambiental, como huracanes o terremotos?

Buenas prácticas de diligencia debida respecto a terceros

La diligencia debida a terceros puede ser un proceso caro, largo y laborioso. Esto se aplica particularmente a las organizaciones que dependen en gran medida de proveedores para el manejo y procesamiento de datos debido a las implicaciones de seguridad, así como a las que tienen cadenas de suministro extensas. He aquí algunas de las mejores prácticas que puede emplear para mejorar la eficiencia y eficacia de su proceso de diligencia debida respecto a terceros.

Proveedores por niveles de eficiencia

Clasificar a los terceros en función de su nivel de riesgo ayuda a concentrar sus recursos de forma más eficaz durante el proceso de diligencia debida. Durante el proceso de contratación y selección, calibre la importancia de los bienes y servicios que el tercero va a proporcionar, así como el nivel de acceso a TI y a los datos que necesitará para ejecutar el contrato. Esta información le permitirá clasificar a los proveedores y "dimensionar" su programa de diligencia debida en función del grado y los tipos de riesgos que plantean.

Acoplar los cuestionarios sobre riesgos de los proveedores a la supervisión continua de riesgos

Aunque los cuestionarios de riesgo de proveedores son fundamentales para una diligencia debida eficaz de terceros, no captan por sí solos toda la información necesaria. Añada una supervisión continua de los riesgos para validar los datos proporcionados por el proveedor y detectar problemas nuevos y emergentes, como filtraciones de datos, vulnerabilidades de seguridad informática, interrupciones operativas, incidentes de reputación y problemas financieros.

No basta con una única diligencia debida

Las organizaciones con programas de gestión de riesgos menos maduros pueden pensar que han terminado su trabajo tras completar la diligencia debida inicial sobre un tercero. Sin embargo, pueden surgir nuevos riesgos a lo largo del ciclo de vida del riesgo del proveedor, incluso después de la incorporación y la rescisión. Supervise continuamente a sus terceros en busca de cambios en sus perfiles de riesgo después de la incorporación, y lleve a cabo evaluaciones de riesgo rutinarias basadas en la importancia del proveedor para su negocio.

Elija un marco repetible para simplificar las evaluaciones de riesgos

Considere la posibilidad de estructurar sus evaluaciones de diligencia debida de terceros en torno a un marco común del sector. De este modo, su equipo podrá evaluar a los proveedores de forma coherente utilizando criterios similares y ofrecer recomendaciones de corrección basadas en las mejores prácticas conocidas.

Mejore la diligencia debida de terceros con Prevalent

Los enfoques manuales de la diligencia debida respecto a terceros complican la coordinación de las evaluaciones de proveedores, el cumplimiento de los requisitos de conformidad y la satisfacción de las diferentes necesidades departamentales. La plataforma de gestión de riesgos de terceros de Prevalent automatiza y acelera el proceso de diligencia debida al tiempo que proporciona una visión centralizada del riesgo de proveedores y vendedores a las partes interesadas de toda la organización. Descubra cómo Prevalent puede simplificar sus iniciativas de diligencia debida de terceros solicitando una demostración hoy mismo.

Nota de la Redacción: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido se ha actualizado desde entonces para incluir información alineada con nuestras ofertas de productos, cambios normativos y cumplimiento.
Potenciar. Automatizar. Elevar. Mitratech

©2025 Mitratech, Inc. Todos los derechos reservados.

Potenciar. Automatizar. Elevar. Mitratech

©2025 Mitratech, Inc. Todos los derechos reservados.