Si la gente que te mantiene en el negocio quiebra, ¿qué pasa contigo?
Esta es la pregunta más importante a la que deben responder los responsables de la gestión de riesgos con respecto a sus terceros y socios de la cadena de suministro, teniendo en cuenta la actual crisis pandémica COVID-19. Sin embargo, sólo el 10% de los directivos y responsables de la toma de decisiones confían plenamente en sus programas de gestión de riesgos de terceros y sólo el 50% están satisfechos con sus soluciones actuales. ¿Qué significa esto? Programas insuficientes y falta de preparación para afrontar lo desconocido.
En colaboración con Shared Assessments, Prevalent llevó a cabo una encuesta entre altos responsables de la toma de decisiones sobre riesgos en febrero de 2020 para estudiar las tendencias, los retos y las iniciativas actuales sobre riesgos de terceros que afectan a las organizaciones en la actualidad. El objetivo del estudio fue proporcionar un estado del mercado sobre el riesgo de terceros con recomendaciones prácticas que las organizaciones pueden tomar para hacer crecer y madurar sus programas. Este post resume lo que aprendimos del estudio y lo que usted puede hacer para equipar mejor su programa de gestión de riesgos de terceros para la resiliencia.
- Lea el informe completo con 17 páginas de estadísticas, análisis y recomendaciones de la encuesta.
- Consulte nuestra infografía con las principales conclusiones del informe.
Principales conclusiones del estudio Gestión de riesgos de terceros 2020
Los resultados del estudio sugieren que:
La falta de procesos perjudica la eficacia de los programas para terceros
El cumplimiento (en particular, el cumplimiento de los requisitos de protección de datos, como el GDPR) domina los impulsores de proyectos, pero las organizaciones carecen de recursos (presupuesto) y procesos para evaluar incluso a sus proveedores de primer nivel, y la mayoría de las evaluaciones tardan más de un mes en completarse. Teniendo en cuenta el estado de su cadena de suministro, ¿puede permitirse este retraso?
La gestión del riesgo de terceros es un deporte de equipo
Los equipos de cumplimiento y ciberseguridad no son los únicos necesarios para contribuir a un programa maduro; también se necesitan colaboradores que puedan evaluar e interpretar los riesgos empresariales y financieros, especialmente en el clima actual. Con el reto de la dotación de recursos y la continua falta de confianza en los programas, será difícil operar en un silo.
Importantes consecuencias para las organizaciones que no aciertan con los terceros
El 76% de los encuestados afirmó haber experimentado uno o más problemas que afectaron al rendimiento del proveedor, el 74% indicó problemas operativos y el 55% indicó una infracción de cumplimiento en los últimos dos años. Teniendo en cuenta la escasez de recursos del programa medio de gestión de las relaciones con los proveedores, ¿cómo podría recuperarse?
Pocas organizaciones están satisfechas con sus herramientas actuales
Cuando se les preguntó si tenían previsto implantar una nueva solución de gestión de riesgos de terceros, o aumentar/sustituir una ya existente, en los próximos 12 meses, casi la mitad de los encuestados respondieron "sí". Cuando la mitad del mercado está buscando cambiar su solución, debe significar que las necesidades no están siendo satisfechas. Y no es de extrañar, teniendo en cuenta que los niveles de satisfacción entre las herramientas existentes rondan el 50%, y la media ponderada de satisfacción para las herramientas GRC alcanza un máximo de 3,4/5,0. Los proveedores de contenidos de evaluación estandarizados se oponen a esta tendencia: es evidente que las organizaciones confían en los contenidos de evaluación estandarizados para despejar el camino.
IRM: ¿una salida?
El 42 % de los encuestados indica que invertirá en IRM en el próximo año, pero les preocupa la limitación de recursos/personal/experiencia, la falta de conocimiento en tiempo real de los cambios y la falta de integración con otras herramientas utilizadas para la gestión de proveedores o la gestión de riesgos. Dado que la transformación digital también es un motor, es importante que las organizaciones determinen si un IRM de uso general tiene la flexibilidad necesaria para satisfacer las necesidades, en comparación con una plataforma de evaluación de TPRM creada específicamente.
El mercado de la gestión de riesgos de terceros se encuentra en un punto de inflexión. Los usuarios no están evaluando lo suficiente a sus principales proveedores. Carecen de recursos y presupuesto para financiarlo correctamente. El riesgo de terceros no funciona y las cadenas de suministro están en peligro.
¿Cuál es el camino a seguir? Lea las siguientes recomendaciones.
Recomendaciones para la gestión de riesgos de terceros
Desarrollar y madurar un programa de gestión de riesgos de terceros adaptable y ágil no tiene por qué ser un proceso complejo y lento. He aquí cinco (5) recomendaciones para poner en marcha sus actividades de riesgo de proveedores:
#1 - Desarrollar un proceso programático
Un proceso programático debe ayudar a su equipo de forma progresiva:
- Defina quiénes son sus proveedores y qué riesgos inherentes presentan para su empresa.
- Evaluar la estrategia adecuada para recopilar la información correcta de los terceros adecuados.
- Analizar los resultados de las evaluaciones y puntuar los niveles de riesgo basándose en un amplio ecosistema de datos.
- Corregir los riesgos derivados del análisis de las evaluaciones realizadas
- Informar sobre los requisitos reglamentarios y del sector, y para el consejo de administración
- Optimizar el programa para adaptarlo a los continuos cambios de requisitos y niveles de recursos.
¿Cuáles son los resultados de una metodología tan estandarizada y repetible? Descargue el informe completo para averiguarlo.
#2 - Crear un equipo multifuncional
Dada la complejidad, es probable que ninguna persona pueda resolverlo todo por sí sola, por lo que la colaboración interna y externa es clave no sólo para identificar el riesgo, sino también para mitigarlo.
#3 - Ser exhaustivo sin ser complejo
Hay soluciones disponibles en el mercado que ofrecen una biblioteca de preguntas predefinidas que se corresponden con cualquier número de marcos normativos o industriales. Esto le permite evitar la duplicación de esfuerzos y el mosaico de requisitos que obtendría si intentara evaluar cada marco por separado. También es mucho más fácil demostrar el cumplimiento cuando se trata de una pregunta que cubre muchos requisitos a la vez.
#4 - Manténgase ágil con opciones de evaluación y análisis
No se encasille en una única opción rígida para recopilar y analizar las encuestas de sus terceros. Existen múltiples formas de evaluar a todos sus proveedores de primer nivel (y superar así uno de los principales retos citados en esta encuesta).
- Autoservicio: Recopile sólo los datos básicos para elaborar su lógica de perfiles y niveles. Como mínimo, centralice la gestión de todos sus proveedores en un único lugar para mantener la visibilidad.
- Servicio gestionado: Externalice la evaluación de sus terceros de primer nivel a un especialista en identificación y análisis de riesgos, y libere a su equipo para que se centre en la gestión de riesgos residuales a largo plazo.
- Servicio compartido: Aproveche una red de cuestionarios de proveedores cumplimentados y pruebas justificativas para sus proveedores de nivel inferior, de modo que pueda centrar los esfuerzos de su equipo (y la cantidad correcta de recursos) en los proveedores de nivel superior.
#5 - Complemente su toma de decisiones con inteligencia basada en el riesgo
Tomar decisiones en silos con un conjunto de datos limitado no permitirá a su equipo ser gestores eficaces del riesgo de proveedores. En su lugar, busque soluciones que se basen en una plataforma abierta con integraciones a múltiples soluciones empresariales y de riesgo. Una solución sólida ofrecerá:
- Un perfil de riesgo completo que sirve de base para la clasificación por niveles, la frecuencia de las evaluaciones y la medición de los SLA.
- Un modelo de riesgo cuantificado y contextualizado que incluye los riesgos cibernéticos y los riesgos empresariales, además de cálculos ISO y FAIR.
- Gestión de respuestas con flujo de trabajo habilitado y automatización para garantizar que la información sobre proveedores se envía a las personas adecuadas de su equipo.
- Información y priorización de riesgos, incluido el contexto y la orientación para la priorización.
- Difusión automatizada de informes para garantizar la transparencia con terceros y dentro de su organización.
¿Cuál es tu situación?
Las herramientas y soluciones de IRM existentes no bastan para superar los retos de la gestión de riesgos de terceros. Solo un modelo integral que ofrezca un proceso programático hasta la madurez con opciones para gestionar los costes y la elaboración de informes para el cumplimiento de la normativa proporcionará una base sólida para que los equipos de gestión de riesgos se adapten con el tiempo.
¿Cómo queda su programa de gestión de riesgos de terceros en comparación con los encuestados? Descargue los resultados completos y consulte la infografía para comparar sus propias prácticas de gestión de riesgos de terceros.
Para obtener más información sobre cómo Prevalent puede ayudarle a afrontar los retos de la gestión de riesgos de terceros, solicite hoy mismo una demostración de nuestra plataforma.
Nota de la Redacción: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido se ha actualizado desde entonces para incluir información alineada con nuestras ofertas de productos, cambios normativos y cumplimiento.
