Gestión de riesgos de terceros: La guía definitiva

En un mundo con empresas, vendedores, proveedores, socios logísticos y proveedores de servicios en la nube cada vez más interconectados, la Gestión de Riesgos de Terceros (GRTP) ha pasado de ser un ejercicio anual de lista de comprobación a una función diaria crítica. Cuando un incidente al otro lado del mundo puede causar interrupciones en el servicio a sus clientes, es fundamental comprender y gestionar esos riesgos con eficacia y eficiencia. Aparte de la necesidad de la GTPR, la práctica ha avanzado significativamente desde un intercambio de correos electrónicos hace 10 años a un proceso de supervisión continua que incorpora la diligencia debida tradicional con altos grados de automatización.

Este artículo explica la GTPR y lo que impulsa su implantación. También identifica el ciclo de vida básico de los programas de GTPR y esboza consejos para el éxito y trampas que hay que evitar a toda costa al implantar el programa.

Las continuas crisis geopolíticas, los fenómenos climáticos catastróficos, las interrupciones inesperadas de la cadena de suministro y el aumento de las amenazas a la ciberseguridad de terceros han hecho que las organizaciones implanten rápidamente programas de GTPR para gestionar los riesgos que plantean terceros. La mayoría de los ejecutivos de GTPR utilizan sus programas de GTPR para gestionar los riesgos de ciberseguridad, permitir la gobernanza de los datos y gestionar los requisitos de privacidad, al tiempo que mejoran la rentabilidad.

Además, las organizaciones que pueden madurar rápidamente sus capacidades de GTPR obtienen importantes ventajas competitivas. Las organizaciones con programas maduros de TPRM tienen muchas menos posibilidades de afectar negativamente a su reputación y a sus clientes mientras gestionan las interrupciones globales, regionales y organizativas. Evitar que los errores o las desconfiguraciones en su cadena de suministro ampliada afecten a su capacidad de servir a los clientes es probablemente una función crítica para su organización. Un programa TPRM permite a su organización identificar, mitigar y/o aceptar eficazmente esos riesgos. En resumen, un programa TPRM correctamente configurado puede evitar sorpresas no deseadas que afecten negativamente a su organización.

Definición de gestión de riesgos de terceros

La gestión de riesgos de terceros (GTRP) es el proceso de identificar, evaluar y mitigar los riesgos asociados a la contratación de terceros externos, como vendedores, proveedores, contratistas y socios comerciales. Implica una diligencia debida para abordar los riesgos potenciales que podrían afectar a las operaciones, la salud financiera, la ciberseguridad, la situación jurídica o la capacidad de una organización para servir a sus clientes. Estos riesgos pueden abarcar incidentes de ciberseguridad, interrupciones de la cadena de suministro, escasez de mano de obra, inestabilidad financiera, factores políticos y conflictos regionales. La GTPR permite a las organizaciones gestionar los riesgos de forma proactiva y planificar respuestas en lugar de reaccionar a los problemas cuando surgen, lo que garantiza la continuidad del negocio y protege a las principales partes interesadas.

El ciclo de vida de la gestión de riesgos de terceros

El valor de la GTPR comienza con el proceso de identificación de riesgos y se extiende a lo largo de todo el ciclo de vida de las relaciones entre su organización y sus proveedores. El ciclo de vida de TPRM incluye:

1. Aprovisionamiento y selección - Esta fase incluye la evaluación de la capacidad de cada proveedor potencial para cumplir los requisitos del servicio o la solución y la puntuación de los riesgos básicos de seguridad, privacidad, reputación y financieros. Para ello, se pueden realizar evaluaciones basadas en cuestionarios, acceder a bases de datos de información sobre proveedores o una combinación de ambos métodos.
2. Admisión e incorporación: una vez seleccionados los proveedores, se incorporan a un repositorio central mediante carga manual o masiva. Esto se puede lograr a través de formularios de admisión completados por las partes interesadas internas, importaciones de hojas de cálculo o una API para una solución de gestión de proveedores o de adquisiciones existente.
3. Puntuación del riesgo inherente: el riesgo inherente es el nivel de riesgo de un proveedor antes de tener en cuenta cualquier control específico que requiera su organización. Es una buena práctica puntuar el riesgo inherente de un proveedor con una simple evaluación antes de darle acceso a sus sistemas y datos. Esto también le permite determinar el nivel requerido de diligencia debida y la frecuencia y el alcance de las evaluaciones de riesgos posteriores.
4. Evaluación de controles internos - Las evaluaciones de controles pueden utilizarse durante la diligencia debida inicial y periódicamente para satisfacer los requisitos de auditoría. Los riesgos identificados durante el proceso de evaluación suelen puntuarse en función del impacto, la probabilidad y otros factores. Los resultados también pueden corresponderse con los requisitos clave de otros marcos de cumplimiento y seguridad, como ISO, NIST o SOC 2.
5. Supervisión externa de riesgos: al recurrir a fuentes externas de inteligencia continua de terceros, puede cubrir las lagunas entre las evaluaciones periódicas y validar las respuestas de las evaluaciones con observaciones externas. La supervisión de riesgos puede incluir inteligencia cibernética, actualizaciones empresariales, informes financieros, análisis de medios de comunicación, listas de sanciones globales, análisis de empresas propiedad de estados, análisis de personas políticamente expuestas (PEP), notificaciones de eventos de infracción, etc.
6. Gestión de SLA y rendimiento: las evaluaciones y la supervisión pueden utilizarse para determinar si los proveedores cumplen sus obligaciones a lo largo de la relación comercial. Por ejemplo, esto puede incluir la evaluación de su capacidad para cumplir los acuerdos de nivel de servicio, aplicar correcciones o cumplir los requisitos de conformidad.
7. Desvinculación y finalización - Durante esta fase, las evaluaciones garantizan que se han cumplido todas las obligaciones finales. Esto puede incluir la revisión de contratos, la liquidación de facturas pendientes, la eliminación del acceso a sistemas y datos, la revocación del acceso a edificios y la revisión del cumplimiento de las normas de privacidad y seguridad.

A la hora de planificar su enfoque de GTPR, recuerde que las circunstancias de las partes pueden cambiar en cualquier momento del compromiso. Detectar y gestionar esos cambios es fundamental para el éxito de su organización. Los proveedores pueden cambiar sus operaciones comerciales, su cadena de suministro de materiales clave puede verse interrumpida, o los organismos regionales pueden modificar los requisitos de importación y exportación. Por ejemplo, las leyes relativas a la privacidad de los datos están cambiando rápidamente en todo el mundo. Todas estas condiciones se dan hoy en día, y las empresas que han implantado eficazmente un proceso de GTPR están prosperando, mientras que otras se están quedando rezagadas.

Dado el rápido ritmo de cambio, existe la necesidad corolaria de que las organizaciones supervisen y realicen un análisis inicial de la información disponible casi en tiempo real para identificar y gestionar su riesgo. Este requisito exige que algunos de los procesos automaticen la recopilación y difusión de información sobre proveedores externos. Una automatización eficaz permite a su oficina de GPRT identificar los riesgos e impulsar la corrección antes de que su organización sufra riesgos para su reputación.

Impulsores del programa de gestión de riesgos de terceros

Varios requisitos reglamentarios y de cumplimiento exigen la gestión del riesgo de terceros y pueden proporcionar un marco eficaz para mitigar el riesgo de proveedores. Los requisitos normativos que impulsan los programas de GTPR cubren un amplio espectro de mercados, proveedores y datos, y a menudo están impulsados por el tipo de organización (por ejemplo, reglamentos y directrices de CMMC, EBA, FCA, FFIEC, HIPAA, NERC, NIST, NYDFS, OCC y otros), la ubicación de su organización (por ejemplo, requisitos de privacidad, estatutos estatales) o la ubicación de sus clientes (por ejemplo, GDPR, CCPA). El punto clave que hay que entender en relación con estos requisitos es asegurarse de que su programa tiene en cuenta qué datos debe proteger su organización, dónde residen normalmente sus clientes y los requisitos estándar que deben cumplir sus proveedores para prestar sus servicios. Estos requisitos deben incluirse en sus acuerdos y hacerse extensivos a los proveedores que trabajen con los datos cubiertos.

La implantación de programas de GTPR por parte de las organizaciones está impulsada por lo siguiente:

• Cumplimiento de los requisitos reglamentarios.
• Riesgo de ciberseguridad.
• Ventajas competitivas de un programa eficaz de GTPR.
• Impulsores internos de las compras y la eficiencia.
• Gestión del riesgo financiero y operativo interno.
• Cumplir los requisitos de los clientes.

Independientemente del motivo específico de su organización para establecer un programa de GTPR, es fundamental identificar y trabajar con todas las partes interesadas internas, como ejecutivos, juntas, adquisiciones, auditoría interna, finanzas, TI, seguridad de la información, asuntos legales y cumplimiento, para establecer sus flujos de trabajo.

¿Quién debe participar en la gestión de riesgos de terceros?

A la hora de implantar un programa de GTPR, es fundamental asegurarse de que todas las partes interesadas internas y externas estén incluidas en el establecimiento del programa. Incluir a las partes interesadas relevantes garantiza que todas las personas, procesos y tecnologías estén alineados para producir un programa eficaz. Como mínimo, considere a las siguientes partes interesadas internas:

• Ejecutivos (CEO, CFO, CIO, COO, CISO, etc.)
• Consejo General
• Miembros del Consejo
• Auditores internos

Puede haber otras partes interesadas internas, dependiendo del tipo, función y operaciones de su organización.

Las partes interesadas externas constituyen otro grupo crítico a tener en cuenta en el desarrollo de su programa. Las partes interesadas externas incluyen:

• Vendedores
• Reguladores
• Clientes

Dado que los programas de GPRT rara vez comienzan al inicio de una empresa, es importante tener en cuenta los acuerdos/programas existentes ya en vigor con proveedores externos y asegurarse de que se analizan a fondo en comparación con el programa de GPRT propuesto. Asegúrese de que se registran las discrepancias y de que se crea un plan para abordar los riesgos no mitigados y se realiza un seguimiento hasta su finalización.

Influencias reglamentarias de la GTRC en la gestión de riesgos

Las normas reglamentarias son el motor principal de los programas de GTPR. Los programas normativos son específicos de:

• Sanidad
• Contratación pública
• Aceptación de tarjetas de crédito
• Servicios financieros
• Banca
• Fabricación

Todos ellos requieren la implantación de un proceso de ciclo de vida completo para la GTPR. Estos requisitos suelen venir determinados por el tipo de datos confidenciales que se recopilan en el curso normal de la actividad empresarial.

Un ejemplo primordial de este tipo de gestión de riesgos impulsada por la normativa es una parte importante de la norma del sector PCI-DSS, que define a los proveedores terceros y exige que los proveedores no transmitan a los titulares de tarjetas "datos en nombre de clientes u organizaciones a proveedores que puedan comprometer la seguridad de sus datos y su entorno". Esto significa que, aunque las empresas están obligadas a trabajar en el programa de ciberseguridad exigido para sí mismas, siguen estando obligadas a supervisar los programas de ciberseguridad de los proveedores con acceso a datos confidenciales, aunque mantengan el riesgo por debajo de un determinado umbral.

Otro ejemplo son los programas y contrataciones federales que exigen una estricta gestión de la seguridad de todos los proveedores con acceso a la información. Este proceso va mucho más allá de simples cuestionarios e intercambio de documentación; también puede incluir la exploración de entornos internos y declaraciones legales de los ejecutivos sobre la protección de datos existente. La complejidad de las terceras partes implicadas, el potencial de conflictos de intereses y las pérdidas financieras están impulsando a las empresas a mejorar continuamente sus prácticas de gestión de riesgos y sus estrategias de mitigación de riesgos.

Tradicionalmente, la TPRM era ejecutada por personal interno o subcontratada a consultores que seguían un proceso minuciosamente guionizado para recopilar, analizar e informar sobre la información. Específicamente, las organizaciones que han utilizado previamente personal para ayudar con el proceso de evaluación pueden tener que replantearse su enfoque, ya que la pandemia actual ha limitado los viajes y ha limitado significativamente la recopilación de información en tiempo real. Esto impide que la evaluación in situ sea viable y trastoca por completo el enfoque tradicional de la evaluación de riesgos por parte de terceros, que suele recurrir a las visitas en persona para supervisar los resultados proporcionados por los cuestionarios.

Combinando las condiciones actuales con el rápido aumento de la complejidad del riesgo y el alcance de las cadenas de suministro de hoy en día, esto simplemente no es factible utilizando procesos tradicionalmente exitosos. El éxito en la GTPR requiere un uso cada vez mayor de la automatización y de herramientas diseñadas para realizar la recopilación y el análisis inicial de los datos de los proveedores.

El papel de la inteligencia artificial en la GTPR

A medida que las organizaciones dependen cada vez más de las cadenas de suministro interconectadas y de las relaciones con terceros, es imperativo disponer de información exhaustiva sobre los riesgos y tomar decisiones oportunas. El crecimiento exponencial de los datos procedentes de diversas fuentes ofrece la oportunidad de aprovechar la IA y los análisis avanzados, lo que permite evaluaciones de riesgos más profundas, capacidades predictivas y supervisión en tiempo real. El aumento del escrutinio normativo y el incremento de las amenazas sofisticadas hacen aún más necesarios los enfoques de gestión de riesgos basados en datos y en IA.

La adopción de tecnologías relacionadas con la inteligencia artificial (IA) puede ser decisiva para reforzar un programa moderno de GTPR. Las capacidades transformadoras de la IA ofrecen oportunidades sin precedentes para agilizar los procesos de GTPR y de gestión del riesgo de proveedores (GRP ), proporcionando un enfoque más eficiente y proactivo para navegar por las complejidades de las redes empresariales contemporáneas.

Estas son solo algunas de las formas en que puede aprovechar la IA en su programa de gestión de riesgos de terceros:

• Automatización de tareas: Los sistemas basados en IA pueden agilizar las evaluaciones rutinarias de riesgos de terceros, el análisis de datos y la elaboración de informes. Esto mejora la eficiencia y la precisión, al tiempo que ayuda a los gestores de riesgos de terceros a centrarse en actividades de más alto nivel.
• Análisis predictivo: Los modelos de IA pueden analizar datos históricos y patrones para predecir riesgos potenciales, ayudándote a tomar medidas proactivas para mitigarlos.
• Detección de anomalías: Los algoritmos de IA pueden identificar patrones o comportamientos inusuales que pueden indicar fraude, brechas de seguridad u otros riesgos.

¿Cuál es el valor de la GTPR?

A medida que las cadenas de suministro se extienden por todo el mundo, los riesgos potenciales aumentan más allá de las simples evaluaciones de seguridad para identificar claramente la postura de seguridad al incorporar nuevos proveedores. Esto puede dificultar la evaluación de su exposición a interrupciones de terceros debidas a "macroeventos" a gran escala, como guerras y disturbios geopolíticos, precios del combustible, catástrofes naturales y otros desastres regionales. Como la industria ha aprendido a través de los recientes acontecimientos, nunca ha sido más importante para las empresas racionalizar los procesos utilizados para recopilar datos de ciberseguridad de sus proveedores. Cuando se trata de redes de terceros y cuartos, donde la visibilidad y el control son reducidos, los factores de riesgo dentro de esas organizaciones son a menudo más difíciles de supervisar, evaluar y mitigar como parte de un TPRM.

Una parte fundamental de su proceso de gestión de riesgos de proveedores va más allá de la simple asignación de calificaciones de seguridad a sus proveedores de servicios. Una solución de gestión de riesgos de proveedores de servicios (TPRM) eficaz le garantiza visibilidad de su ecosistema de terceros y se organiza en torno a las siguientes preguntas:

• ¿Puede identificar a las personas que podrían verse afectadas y los servicios que presta el tercero para proteger sus datos?
• ¿Puede averiguar qué terceros prestan servicios a la organización y mantienen sus datos seguros?

En última instancia, reforzar su organización, abordar las carencias (comprender dónde están, implantar procesos y protocolos) y resolver los problemas de gestión de riesgos de terceros mejorará su negocio, ayudándole a mantenerse y crecer.

Implantación del programa de gestión de las relaciones con los clientes

Una vez que haya decidido implantar un programa de gestión de las relaciones con los clientes, deberá plantearse una serie de preguntas importantes que constituirán la base de su programa. Estas preguntas incluyen:

• ¿Contrata a un socio para que le ayude a poner en marcha y aplicar el programa?
• ¿Cómo gestiona las expectativas de sus interlocutores internos?
• ¿Necesita asignar responsabilidades en caso de violación de datos?
• ¿Cuáles son los requisitos exactos que deben cumplir los terceros para hacer negocios?
• ¿Comprenden las partes interesadas externas los requisitos y pueden aplicarlos?
• ¿La imposición de estos requisitos modificará la relación financiera con los proveedores?
• ¿Cómo se extiende este programa a las relaciones existentes?

Las organizaciones deben centrarse en reunir a las personas, los procesos y las tecnologías adecuadas para implantar un programa de gestión de riesgos de terceros. Comprender el equilibrio y los requisitos de cada una de estas funciones es fundamental para el buen funcionamiento de su programa.

Para abordar las exposiciones al riesgo en entornos TPRM, debe habilitar normas y lenguaje organizativos en las siguientes áreas:

• Establecer los requisitos de los contratos y acuerdos de nivel de servicio para abordar los compromisos relacionados con los riesgos.
• Analice el perfil de riesgo del proveedor con el perfil de riesgo del encargo o del servicio prestado.
• Habilitar un proceso de elaboración de informes impulsado por la supervisión dinámica y la evaluación de riesgos basada en sucesos.
• Combinar las evaluaciones periódicas de riesgos (autoinformadas) y la supervisión continua de riesgos (informada externamente) para una identificación holística de los riesgos.
• Implantar soluciones tecnológicas para integrar la gestión de adquisiciones, resultados y riesgos en una plataforma unificada que proporcione a las partes interesadas información actualizada bajo demanda para satisfacer sus necesidades específicas.

Es importante señalar que al establecer relaciones con las partes interesadas internas y externas, no todos los incentivos tienen que ser punitivos o restrictivos. El establecimiento de requisitos contractuales o de acuerdos de nivel de servicio debe incluir normas mínimas de rendimiento, pero también puede incluir "recompensas" por el cumplimiento de funciones críticas de gestión de riesgos. Además, analizar los requisitos del proveedor frente a los de su organización puede proporcionar enormes dividendos para ambas partes. Aprovechando las áreas de cumplimiento existentes, es posible reducir los costes para ambas partes en beneficio mutuo.

El valor de una solución TPRM implantada eficazmente reside en lograr un programa de gestión de riesgos críticos que proporcione una alerta temprana e impulse una mitigación eficaz de los riesgos. Comprender el valor de la GTPR es sólo el primer paso para decidir implantar el programa. Las opciones, los recursos, la integración con los procesos empresariales existentes y las relaciones requieren el apoyo de la organización y la incorporación de los ecosistemas de terceros existentes. Aunque se trata de una empresa compleja, el uso de cuestionarios, plantillas, herramientas, normas para los acuerdos de nivel de servicio y la automatización puede ser muy valioso para madurar rápidamente su programa de GTPR.

Próximos pasos

¿Se pregunta cómo empezar? Consulte nuestra guía gratuita de mejores prácticas, Navigating the Vendor Risk Lifecycle: Claves para el éxito en cada etapa. ¿Está interesado en saber si nuestras soluciones y servicios de gestión de riesgos de terceros pueden ser adecuados para su organización? Solicite una demostración.

 

---

Nota del editor: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la plataforma de gestión de riesgos de terceros basada en IA, Prevalent. El contenido ha sido actualizado desde entonces para incluir información alineada con nuestra oferta de productos, cambios regulatorios y cumplimiento.