La presentación de informes sobre métricas de gestión de riesgos de terceros (TPRM) es una tarea fundamental que permite a los equipos operativos, los ejecutivos y los miembros del consejo de administración comunicarse de forma eficaz y mitigar los riesgos de los proveedores y distribuidores. Este blog aborda los retos asociados a la presentación de informes sobre TPRM, comparte ejemplos de métricas clave de riesgos de terceros y ofrece directrices para desarrollar las métricas adecuadas para su organización.
¿Qué son las métricas de riesgo de terceros?
Las métricas de riesgo de terceros son medidas cuantificables que se utilizan para evaluar y comprender los riesgos asociados con la contratación de proveedores y distribuidores externos. Estas métricas proporcionan a las organizaciones una forma sistemática de evaluar las posibles amenazas para sus operaciones, reputación, seguridad de los datos y estado de cumplimiento que se derivan de sus relaciones con entidades externas. Al aprovechar las métricas adecuadas para gestionar los riesgos de terceros, su organización puede proteger eficazmente sus activos y mantener la confianza de los clientes y las partes interesadas.
¿Por qué son importantes las métricas de riesgo de terceros?
Permitir que los proveedores y distribuidores accedan a los datos, sistemas e instalaciones es esencial para llevar a cabo actividades comerciales hoy en día, pero el acceso de terceros también puede exponer a las organizaciones a incidentes como violaciones de datos y ataques a la cadena de suministro. En respuesta a ello, los consejos de administración y los líderes empresariales buscan una mayor visibilidad de los ecosistemas de terceros de sus organizaciones.
Las métricas de TPRM pueden tranquilizar a los directivos, al consejo de administración y a los auditores de una organización, ya que les garantizan que los terceros con los que trabajan presentan un nivel de riesgo aceptable. Al mismo tiempo, si los terceros están asociados a riesgos inaceptables, disponer de las métricas adecuadas puede simplificar y acelerar los procesos de corrección y mitigación.
¿Cuáles son algunos de los retos que plantea la presentación de informes sobre TPRM?
La presentación de informes sobre TPRM puede resultar compleja tanto para equipos nuevos como para equipos con experiencia. El simple hecho de identificar un punto de partida puede suponer un reto, lo que lleva a muchos equipos a tener dificultades para comunicar eficazmente los riesgos de terceros. Además, los métodos y paneles de control obsoletos, excesivamente técnicos y complejos contribuyen aún más a la confusión entre los consejos de administración, los equipos directivos y los equipos funcionales. Esta complejidad subraya la importancia de adoptar un enfoque programático para identificar, formular y aplicar las métricas de TPRM adecuadas para su organización.
Categorías de métricas TPRM
Antes de seleccionar métricas específicas para el programa TPRM de su organización, es fundamental comprender las categorías de métricas que deben tenerse en cuenta. Las métricas TPRM se dividen en cuatro áreas principales de medición, cada una de las cuales consta de varios KPI y KRI que proporcionan información muy valiosa sobre las relaciones con terceros:
- Métricas de riesgo: evalúan los riesgos asociados a proveedores específicos, proporcionando información sobre posibles amenazas, las estrategias de mitigación correspondientes y el cumplimiento de los controles por parte del proveedor.
- Métricas de amenazas: Consisten en datos disponibles públicamente relacionados con aspectos cibernéticos, operativos, financieros y de reputación, que abordan cómo los datos de riesgo de los proveedores se correlacionan con las amenazas observables externamente.
- Métricas de cumplimiento: revelan en qué medida las prácticas de los proveedores cumplen con los entornos de control interno y los requisitos normativos, lo cual es fundamental para mantener los estándares legales y del sector.
- Métricas de cobertura: Garantizar una comprensión completa de la huella global de los proveedores, identificando a los terceros, cuartos y enésimos participantes en la cadena de suministro.
Medir los KPI y KRI en cada una de estas categorías le permitirá adoptar un enfoque más integral y equilibrado para la gestión de riesgos de terceros. Para obtener recomendaciones sobre qué métricas específicas debe tener en cuenta para su programa de TPRM, descargue el libro electrónico Los 25 KPI y KRI más importantes para la gestión de riesgos de terceros.
Cómo crear métricas eficaces para la gestión de riesgos de terceros (TPRM)
El proceso de desarrollo de métricas TPRM eficaces implica varios pasos cruciales, que se ilustran a continuación.
Antes que nada, se debe nombrar a los líderes clave, normalmente coordinados por el director de riesgos (CRO) a través de un consejo de riesgos empresariales (ERC), un grupo de trabajo compuesto por miembros de diferentes unidades de negocio. En organizaciones más pequeñas que no cuentan con un CRO, el ERC puede estar formado por el director de seguridad de la información (CISO), el director de TI, el director de compras y el director financiero (CFO). Una vez establecido el liderazgo, el proceso consta de seis etapas fundamentales para definir e implementar las métricas de TPRM.
1. Establecer los objetivos de la empresa.
El Consejo de Riesgos Empresariales determina los objetivos empresariales para la TPRM abordando cuestiones estratégicas. Esta fase garantiza la alineación con las normativas, los objetivos empresariales y la implementación exitosa de la TPRM a gran escala.
Consideraciones clave: Los objetivos pueden incluir la protección de datos confidenciales, garantizar el cumplimiento normativo, reducir los riesgos de ciberseguridad, mitigar los riesgos operativos y financieros, salvaguardar la reputación de la organización, mejorar la eficiencia operativa y respaldar la toma de decisiones informadas.
2. Establecer los objetivos departamentales.
Durante esta fase, el director ejecutivo se reúne con los jefes de departamento o los responsables pertinentes para definir los objetivos departamentales para la TPRM. Estos objetivos, extraídos de las recomendaciones del ERC, tienen en cuenta las interacciones con terceros, el acceso a datos sensibles y las normativas pertinentes.
Responsabilidades departamentales: Se forman equipos departamentales, dirigidos por jefes, para definir objetivos y alinearlos con los objetivos generales de TPRM.
Preguntas clave: Los equipos tienen en cuenta las interacciones con terceros, el acceso a datos y sistemas, y las normativas pertinentes que rigen sus departamentos.
3. Identificar a terceros
Los equipos departamentales comienzan por identificar a terceros, como proveedores, contratistas, socios logísticos y proveedores de servicios en la nube. La colaboración con equipos internos, como los de compras y cuentas por pagar, centraliza los datos de terceros para mejorar la gobernanza.
Fundamentos para la gobernanza: Trabajar con equipos internos para centralizar los datos de terceros sienta las bases para una gestión adecuada del riesgo de terceros (TPRM).
4. Identificar los riesgos que se deben medir
Tras identificar a los terceros, los equipos determinan los riesgos potenciales asociados a cada uno de ellos, incluyendo violaciones de datos, problemas de reputación, multas reglamentarias, solvencia financiera e interrupciones en la cadena de suministro.
5. Identificar los indicadores de rendimiento
Una vez identificados los terceros y los riesgos potenciales, los equipos crean y establecen indicadores de rendimiento para realizar un seguimiento periódico. Hay varios factores clave que contribuyen a la eficacia de las métricas de TPRM, entre ellos:
- Disponibilidad/calidad de los datos: esto garantiza que los datos estén disponibles para la elaboración de informes y que los equipos puedan acceder a un repositorio centralizado de perfiles de riesgo de proveedores holísticos.
- Estandarización/Coherencia: Armonizar los procesos y puntos de vista entre las unidades de negocio en relación con los posibles riesgos de los proveedores puede agilizar las operaciones.
- Integración de datos: la fusión e integración de diferentes plataformas ofrece una perspectiva coherente sobre el riesgo de los proveedores en toda la organización.
- Simplicidad del análisis: la automatización de los procesos programáticos ayuda a gestionar y analizar grandes volúmenes de datos.
- Interpretación y contextualización: Comprender al público y el contexto permite proporcionar información clara, concisa y significativa.
- Formato de informes y comunicación: Es fundamental sintetizar, comunicar y presentar los datos en un formato fácil de usar.
- Puntualidad y frecuencia: La supervisión continua de los proveedores en tiempo real es fundamental para un programa eficaz de TPRM.
En esta etapa, los equipos pueden solicitar apoyo y recomendaciones a los proveedores de TPRM, aprovechando su experiencia y recursos para identificar riesgos, realizar un seguimiento de los indicadores de rendimiento, elaborar estrategias de presentación de informes y abordar otras cuestiones.
6. Armonizar las métricas a lo largo del ciclo de vida del TPRM
En esta fase final, el ERC trabaja en colaboración con los responsables de departamento para formar grupos que garanticen que todos los riesgos identificados y los indicadores de rendimiento estén alineados. Los grupos trabajan para estandarizar y sincronizar las métricas en cada etapa del ciclo de vida de la gestión de riesgos de proveedores externos.
Próximos pasos
¿Está listo para transformar su enfoque de TPRM con métricas basadas en datos y garantizar un ecosistema de terceros seguro y resistente para su organización? Descargue nuestro informe técnico, Medir lo que importa: cómo crear métricas eficaces para el riesgo de terceros, para obtener orientación detallada sobre cada uno de los pasos anteriores, las métricas que se deben tener en cuenta en cada etapa del ciclo de vida de TPRM y consejos para evitar errores comunes al establecer sus métricas de TPRM.
Tanto si está iniciando un nuevo programa de TPRM como si desea optimizar sus iniciativas de métricas de TPRM existentes, la plataforma de gestión de riesgos de terceros de Prevalent puede permitir que toda su organización colabore en la identificación, comprensión y reducción de los riesgos de los proveedores. Solicite una demostración para descubrir cómo Prevalent puede ayudarle a automatizar y acelerar su programa de métricas de TPRM.
Nota de la Redacción: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido se ha actualizado desde entonces para incluir información alineada con nuestras ofertas de productos, cambios normativos y cumplimiento.
