La investigación del Estudio de Gestión de Riesgos de Terceros 2023 muestra dos tendencias muy interesantes. En primer lugar, hay más departamentos que nunca implicados en la gestión de riesgos de terceros (TPRM), y el mayor crecimiento interanual de la implicación procede de los equipos de Seguridad de la Información, Gestión de Riesgos y Cumplimiento/Auditoría. Y en segundo lugar, aunque los equipos de Seguridad de la Información son los propietarios del programa TPRM en el 71% de las empresas, es el equipo de Compras el que suele ser el propietario de la relación con terceros.
Un equipo es el propietario del programa TPRM, pero otro es el propietario de la relación vendedor/proveedor. Muchos equipos intervienen en la GPRT, y todos ellos tienen sus propias necesidades en materia de riesgos de terceros. Inevitablemente, este enfoque multidepartamental de la GPRT puede dar lugar a silos inadvertidos, falta de comunicación o franca ausencia de intercambio de información crítica.
¿Cómo pueden las organizaciones reunir a los departamentos bajo una lingua franca de gestión de riesgos de terceros? Se empieza por crear una única fuente de verdad en lo que respecta a la información sobre proveedores y vendedores externos.
Este artículo examina los retos y las consecuencias de un enfoque inconexo de la gestión de terceros y recomienda diez buenas prácticas para unir a los equipos bajo una única fuente de verdad.
Retos de un enfoque multidepartamental de la gestión de riesgos de terceros
Un enfoque multidepartamental de la gestión del riesgo de proveedores y vendedores externos no es intrínsecamente erróneo; sólo requiere un compromiso organizativo para coordinar las funciones. Sin embargo, si no se hace de forma coherente, el hecho de que los distintos departamentos vayan en direcciones diferentes en lo que respecta a sus evaluaciones y análisis del riesgo de terceros puede tener varias consecuencias negativas.
- La fragmentación de los requisitos departamentales puede limitar la eficacia de la diligencia debida de los vendedores/proveedores.
- Diferentes herramientas pueden producir informes incoherentes sobre métricas que no se alinean con los objetivos generales de la organización.
- La toma de decisiones sobre riesgos está dispersa: no hay una persona o equipo que tenga una visión global del riesgo de terceros.
La creación de una única fuente de verdad para la gestión de riesgos de proveedores y vendedores externos es crucial para las organizaciones que buscan agilizar sus procesos de evaluación de riesgos y garantizar la precisión y coherencia de los datos.
Cómo crear una fuente única de información sobre el riesgo de terceros
Una única fuente de verdad sirve como depósito centralizado de información coherente y fiable a la que pueden acceder y en la que pueden confiar las distintas partes interesadas de toda la organización. He aquí diez pasos que le ayudarán a establecer una única fuente de verdad para el riesgo de vendedores y proveedores:
1. Definir los objetivos de la organización y las métricas clave
Empiece por comprender qué riesgos específicos necesita evaluar y gestionar la organización, y qué información es fundamental para la toma de decisiones. Por ejemplo, ¿cuáles son los indicadores clave de riesgo (KRI ) que señalan posibles problemas en su base de proveedores externos? Como parte de este proceso, lleve a cabo una revisión exhaustiva de las métricas de riesgo de la empresa, incluidas las de los distintos departamentos implicados.
2. Identificar las principales partes interesadas de la empresa
Basándose en las métricas de riesgo empresarial definidas en el paso 1, determine quién utilizará la fuente única de verdad. Esto podría incluir
equipos de compras, gestión de riesgos, responsables de cumplimiento, equipos jurídicos y otros departamentos relevantes más allá de la seguridad informática. A medida que identifique a las partes interesadas clave, valide que los KRI elegidos en el paso 1 son precisos y ajústelos en consecuencia.
3. Realizar una auditoría para conocer las fuentes de datos actuales
Una vez que se comprende qué debe supervisar la organización y quién debe participar, el siguiente paso lógico es averiguar de dónde proceden los datos existentes sobre riesgos de terceros. Las fuentes habituales de datos sobre riesgos de terceros suelen ser:
- Situación de los controles internos de los principales procesos empresariales
- Datos de la empresa
- Ciberseñales de las herramientas de vigilancia de la seguridad
- Actualizaciones empresariales/operativas
- Información sobre la reputación
- Puntuaciones financieras o crediticias para la salud financiera
- Situación medioambiental, social y de gobernanza (ESG)
- Perspectivas de cumplimiento o sanciones
Una vez que haya auditado las fuentes de datos, podrá determinar posibles solapamientos de datos o identificar lagunas de información que haya que subsanar.
4. Centralizar los datos de riesgos de terceros en una única plataforma tecnológica
Su organización obtendrá el máximo beneficio de la gestión de riesgos si todos los datos necesarios sobre riesgos de terceros están centralizados y visibles para todas las partes interesadas. Por lo tanto, elija una única plataforma tecnológica o solución de software que pueda servir de columna vertebral para su única fuente de verdad. Considere opciones que ofrezcan capacidades de integración, herramientas de análisis de datos e informes específicos para las partes interesadas. Centralizar los datos tiene la ventaja adicional de fomentar la colaboración entre las partes interesadas.
5. Normalizar y validar datos
Normalizar los datos para garantizar su coherencia y precisión. Esto incluye alinear las convenciones de nomenclatura, categorizar los riesgos y validar los datos con fuentes de confianza. Establecer controles de calidad de los datos y rutinas de validación. Integrar las fuentes de datos para automatizar su recopilación y actualización siempre que sea posible.
6. Elegir un marco de evaluación de riesgos
Desarrolle un marco integral de evaluación de riesgos de terceros que tenga en cuenta diversos factores de riesgo, como la estabilidad financiera, el cumplimiento de la normativa, la ciberseguridad y la reputación, entre otros. Personalice este marco para adaptarlo a las necesidades específicas de su organización y a las normas del sector. Esto permitirá que todos los miembros de la organización hablen el mismo idioma cuando se trate del riesgo de terceros.
7. Aplicar un modelo de puntuación estandarizado
Cree un sistema de puntuación para cuantificar y clasificar los riesgos asociados a cada vendedor o proveedor. Esto puede ayudar a priorizar acciones y recursos para gestionar las entidades de mayor riesgo. Una matriz similar a un mapa de calor de 5×5 que mida la probabilidad de ocurrencia y el impacto es un buen punto de partida y debe ser fácilmente comprensible para las distintas partes interesadas. Establezca reglas de flujo de trabajo automáticas para dirigir los riesgos a las partes interesadas adecuadas.
8. Normalización de informes y cuadros de mando
Cree informes y cuadros de mando personalizados para ofrecer a las partes interesadas información en tiempo real sobre los riesgos de proveedores y vendedores. Estos informes deben adaptarse a las necesidades de los distintos departamentos y funciones. Este paso es realmente la clave del éxito en la creación de una única fuente de la verdad. Al fin y al cabo, sin un único cuadro de mandos -una única ubicación- para acceder a la información clave, el esfuerzo sería baldío.
9. Supervisar continuamente a terceros
La creación de una única fuente de verdad para los datos de riesgo de terceros no termina cuando se termina el cuadro de mandos. Por el contrario, los terceros deben ser supervisados para proporcionar un flujo continuo de información que mejore la toma de decisiones. Esto puede implicar alertas automatizadas para los indicadores de riesgo clave identificados en el paso 1.
10. Actualizar las partes interesadas y los procesos
Revise y actualice periódicamente su fuente única de verdad para reflejar los cambios en los factores de riesgo, la normativa y las necesidades empresariales. Asegúrese de que los datos siguen siendo precisos y pertinentes. Como parte de este proceso, forme a los usuarios sobre cómo acceder y utilizar eficazmente la fuente única de la verdad. Fomente los comentarios de los usuarios y las partes interesadas para mejorar continuamente la fuente única de la verdad y su eficacia en la gestión de los riesgos de vendedores y proveedores.
Próximos pasos para crear una fuente única de información sobre el riesgo de terceros
La creación de una única fuente de verdad para el riesgo de proveedores y vendedores externos es un proceso continuo que requiere compromiso y diligencia por parte de la organización. Al centralizar los datos, automatizar los flujos de trabajo y crear un marco de evaluación de riesgos estandarizado, su organización puede mejorar su capacidad para tomar decisiones informadas y mitigar los riesgos de manera eficaz, mientras todos hablan el mismo idioma.
Para obtener más información sobre cómo Prevalent puede ayudarle a centralizar la información de proveedores y vendedores externos y a crear un programa TPRM empresarial desde cero, programe una demostración personalizada hoy mismo.
Nota de la Redacción: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido se ha actualizado desde entonces para incluir información alineada con nuestras ofertas de productos, cambios normativos y cumplimiento.
