La evaluación del riesgo de los proveedores es fundamental para muchos programas de gestión del riesgo de los proveedores (SRM) de las empresas. La SRM se ha convertido en un tema de gran importancia para los reguladores y los consejos de administración de las empresas, ya que la pandemia de COVID-19, la guerra de Ucrania y otros acontecimientos han provocado una escasez de productos que van desde el combustible hasta los semiconductores. Estas interrupciones en la cadena de suministro han provocado una inflación récord y han agravado las crisis geopolíticas.
Es evidente que evaluar de forma proactiva el riesgo de los proveedores es ahora más importante que nunca. Las evaluaciones de riesgo de los proveedores pueden ayudarle a comprender cómo las amenazas a las empresas de su cadena de suministro podrían afectar a la capacidad de su organización para suministrar sus productos y servicios. Algunos tipos de riesgo de los proveedores, como el riesgo de rendimiento y el riesgo de eventos, se conocen desde hace medio siglo o más, mientras que otros, como el riesgo ESG y el riesgo cibernético de la cadena de suministro, son conceptos relativamente nuevos.
¿Qué es una cadena de suministro?
Antes de entrar en detalles sobre cómo evaluar el riesgo de los proveedores, hagámonos una pregunta básica: ¿qué es una cadena de suministro?
Una cadena de suministro es la secuencia de procesos necesarios para producir un producto o mercancía. Estas secuencias pueden ser cortas y sencillas, por ejemplo, un agricultor que vende sus productos en un mercado agrícola, o pueden ser largas y complejas, por ejemplo, una organización de productos de consumo que diseña y comercializa sus productos, pero que luego depende de cientos de terceros, cuartos y enésimos para obtener materias primas, ensamblaje, embalaje y distribución.
¿Qué es una evaluación de riesgos de proveedores?
Las evaluaciones de riesgos de los proveedores constituyen la columna vertebral de los programas más amplios de gestión de riesgos de proveedores (SRM). Implican la recopilación de datos sobre los controles de seguridad de la información y privacidad de un proveedor, sus finanzas, prácticas ESG, políticas corporativas, programas de respuesta a incidentes, relaciones con terceros y otros factores que pueden afectar a la continuidad y resiliencia de su negocio.
Las evaluaciones de riesgo de los proveedores se llevan a cabo enviando cuestionarios a los contactos clave de los proveedores, analizando las respuestas, identificando los riesgos y su posible impacto, y definiendo las medidas correctivas o de mitigación necesarias. Las evaluaciones suelen realizarse durante la fase de incorporación, y las evaluaciones de seguimiento se llevan a cabo con una frecuencia y un alcance determinados por los servicios del proveedor y su importancia para el negocio.
Si está comenzando a formalizar un programa de SRM en su organización, puede aprovechar las evaluaciones para establecer un nivel de referencia del riesgo de la cadena de suministro. Si ya cuenta con un programa más sólido, realizar una evaluación le permitirá medir el riesgo actual en comparación con los niveles aceptables e identificar las actividades de corrección clave que puede llevar a cabo para reducir el riesgo residual a un nivel aceptable.
¿Cómo influye el C-SCRM en las evaluaciones de riesgo de los proveedores?
La gestión de riesgos de proveedores (SRM) implica gestionar tanto los riesgos informáticos como los no informáticos en toda la cadena de suministro. La gestión de riesgos de la cadena de suministro cibernética (C-SCRM) es un subconjunto de la SRM que se centra exclusivamente en la gestión de los riesgos relacionados con la tecnología de la información, como las violaciones de datos, las deficiencias de control y el incumplimiento de las normativas de privacidad de datos y seguridad de la información. Un programa eficaz de gestión de riesgos de proveedores debe incluir un componente significativo de gestión de riesgos de la cadena de suministro cibernética, pero la C-SCRM por sí sola no es suficiente para mitigar el riesgo de los proveedores.
Las evaluaciones de la cadena de suministro cibernética deben incluir evaluaciones de los controles de seguridad, las políticas de intercambio de información y las prácticas de privacidad de cada proveedor de TI. Además de los resultados de la evaluación y las pruebas sobre los programas de ciberseguridad y privacidad del proveedor, los perfiles de los proveedores de TI deben incluir información sobre el tipo, la sensibilidad y la cantidad de datos de su organización que manejan o a los que tienen acceso. Esto le permitirá identificar rápidamente a los proveedores que suponen un alto riesgo para su organización cuando se producen infracciones o que pueden tener lagunas en sus programas de seguridad de la información que no se identificaron durante la incorporación del proveedor.
Comprender los diferentes tipos de riesgos de los proveedores
Existen muchos riesgos para la cadena de suministro de su organización, desde fenómenos meteorológicos que afectan a las entregas hasta prácticas comerciales poco éticas por parte de proveedores de cuarto o enésimo nivel que dañan la reputación. Al realizar evaluaciones de riesgos en toda su cadena de suministro, es importante comprender y clasificar los retos de continuidad y resiliencia empresarial a los que se enfrentan sus proveedores. Las categorías de riesgo de los proveedores incluyen:
- Riesgos de ciberseguridad
- Riesgos de cumplimiento
- Riesgos comerciales y financieros
- Riesgos del evento
- Responsabilidad social corporativa y riesgos ESG
- Riesgos de capacidad
- Riesgos de rendimiento
Riesgos de ciberseguridad
Las infracciones, vulnerabilidades, controles de seguridad de la información faltantes y otras amenazas a la ciberseguridad son fundamentales a la hora de evaluar los riesgos de los proveedores. A diferencia de los productos físicos, los datos de los clientes y otra información confidencial pueden transmitirse y conservarse a lo largo de toda la cadena de suministro. Los atacantes también pueden aprovechar las vulnerabilidades de su cadena de suministro tecnológico para atacar directamente los sistemas y datos de su organización. Esto puede dar lugar a consecuencias adversas, como violaciones de datos, incumplimientos normativos, multas y demandas, y daños a la reputación de su organización.
Riesgos de cumplimiento
Hoy en día, casi todas las organizaciones están sujetas a uno o varios requisitos de cumplimiento en materia de privacidad de datos o seguridad de la información, como el RGPD, la CCPA, la HIPAA, la PCI DSS y muchas otras. Las sanciones por incumplimiento pueden ir desde multas hasta responsabilidad penal personal, dependiendo de la infracción y la normativa. Estrechamente relacionadas con los riesgos de cumplimiento están las sanciones, por ejemplo, a los proveedores que han sido citados por hacer negocios con empresas estatales o que se han visto involucrados en casos de blanqueo de capitales o corrupción.
Riesgos comerciales y financieros
Los fracasos empresariales y los problemas financieros pueden causar graves trastornos en su cadena de suministro, incluso si el trastorno se produce con un proveedor de cuarto o enésimo nivel. Los riesgos empresariales y financieros incluyen la rotación de ejecutivos, las fusiones y adquisiciones, las quiebras, los litigios y las regulaciones que podrían afectar a la capacidad de un proveedor para cumplir un contrato.
Riesgos del evento
Los últimos años han demostrado lo mucho que los acontecimientos impredecibles pueden perturbar las cadenas de suministro organizativas y globales. La COVID-19, el bloqueo del canal de Suez, la guerra de Ucrania y los huracanes y incendios forestales cada vez más devastadores son solo algunos ejemplos de acontecimientos que han causado un enorme riesgo y estrés financiero a miles de organizaciones y gobiernos de todo el mundo.
Responsabilidad social corporativa y riesgos ESG
En un momento dado, las organizaciones podían cumplir con la definición de responsabilidad social corporativa (RSC) retribuyendo a la comunidad mediante donaciones de tiempo y dinero. Sin embargo, la RSC se asocia cada vez más con prácticas ambientales, sociales y de gobernanza (ESG). Estas incluyen los enfoques de su empresa en materia de sostenibilidad ambiental, sus relaciones con los clientes, los empleados y las comunidades, y cómo aborda la remuneración de los ejecutivos, los controles internos y los derechos de los accionistas. Trabajar con empresas con un mal historial medioambiental, que utilizan mano de obra forzada como parte de sus cadenas de suministro o que participan en otras prácticas corruptas puede exponer a su organización a un riesgo considerable en términos de reputación, civil e incluso penal.
Riesgos de capacidad
Es posible que los proveedores no puedan cumplir con sus plazos de entrega, ya sea por acontecimientos empresariales, condiciones económicas o desastres naturales. Por eso es importante medir continuamente la capacidad de los proveedores, lo que incluye realizar un seguimiento del estado actual de los pedidos, el rendimiento en comparación con el historial de pedidos, las respuestas de los proveedores y las confirmaciones. Una visión proactiva de la capacidad de los proveedores puede ayudar a su organización a ser más ágil cuando se produce una interrupción.
Riesgos de rendimiento
Los riesgos relacionados con el rendimiento de los proveedores están estrechamente relacionados con los riesgos de capacidad, que se pueden identificar midiendo los indicadores clave de rendimiento (KPI). Los KPI pueden incluir métricas de calidad, rendimiento de las entregas y criterios para cumplir los niveles de servicio acordados. La gestión del rendimiento de los proveedores resulta más fácil cuando se establecen cláusulas contractuales con acuerdos de nivel de servicio (SLA) exigibles y se aprovecha un panel de control de SRM que proporciona visibilidad a nivel empresarial.
Cinco claves para realizar evaluaciones eficaces del riesgo de los proveedores
Las diferentes organizaciones abordan la gestión del riesgo de los proveedores de maneras muy distintas. La composición, el enfoque y el alcance de un programa maduro de SRM dependen en gran medida del sector industrial de la organización y del tamaño y la complejidad de su cadena de suministro. Teniendo esto en cuenta, hay cinco claves que se aplican a casi cualquier cadena de suministro en todos los sectores, desde el comercio minorista hasta la tecnología.
1. Perfil y clasificación de sus proveedores
Evaluar eficazmente a sus proveedores externos basándose en el riesgo perfilado, inherente y residual es esencial para su enfoque general de evaluación del riesgo de los proveedores.
Riesgo de proveedor perfilado
El riesgo perfilado se refiere a la naturaleza y la importancia de los productos o servicios de un proveedor para su organización. Por ejemplo, el proveedor de semiconductores de un fabricante de ordenadores supondría un riesgo mucho mayor que su proveedor de embalajes.
Riesgo inherente al proveedor
Un riesgo inherente es un riesgo existente que el proveedor plantea antes de cualquier medida correctiva. Entre los ejemplos de riesgos inherentes se incluyen una situación financiera deficiente, controles de seguridad de la información inadecuados o ineficiencias operativas.
Riesgo residual del proveedor
El riesgo residual es el riesgo que permanece después de que un proveedor haya tomado las medidas correctivas adecuadas. Su equipo de gestión de riesgos debe determinar si el riesgo residual es aceptable o inaceptable.
Cada categoría de riesgo puede evaluarse de forma independiente o combinada para tomar decisiones y medidas más informadas y basadas en el riesgo. Las organizaciones con un alto grado de riesgo perfilado o inherente pueden requerir esfuerzos adicionales de evaluación y corrección de riesgos, tales como:
- Realizar evaluaciones internas más frecuentes y/o un seguimiento externo continuo.
- Exigir al proveedor que supere una auditoría basada en un marco de seguridad de la información, como ISO 27001, SOC 2 o el Marco de Ciberseguridad del NIST.
- Estipulación de disposiciones contractuales o del acuerdo de nivel de servicio (SLA) relacionadas con la conservación, destrucción y cumplimiento de la información.
Comprender e implementar un proceso eficaz para determinar con precisión el riesgo perfilado, inherente y residual es la base fundamental de su programa general de gestión de riesgos de proveedores. Antes de realizar evaluaciones de riesgos de proveedores, asegúrese de contar con un marco basado en procesos para puntuar el riesgo perfilado, inherente y residual.
2. Alinee sus evaluaciones de riesgo de proveedores con un marco de SRM
Basar las evaluaciones de riesgo de sus proveedores en unmarco de gestión de riesgos puede ayudar a garantizar que sigan las directrices de buenas prácticas y minimizar cualquier laguna en la cobertura. Muchas organizaciones se ajustan a los marcos del NIST o la ISO, dependiendo de su sector y otros factores. Entre las directrices específicasdel NIST que hay que tener en cuenta se incluyen NIST CSF v2.0, NIST SP 800-53 y NIST SP 800-161. En cuanto alas normas ISO , comience por ISO 27001, ISO 27036-2 e ISO 27701.
3. No subestimes la importancia de los criterios ESG
La evaluación de los riesgos ESG debe ocupar un lugar destacado a la hora de evaluar su cadena de suministro y sus cadenas de suministro ampliadas. Las organizaciones con un historial deficiente en materia de ESG corren el riesgo de sufrir desinversiones, daños a su reputación y reacciones negativas por parte de los clientes. Los inversores y los clientes están cada vez más preocupados por cuestiones como las emisiones de carbono, la deforestación, la esclavitud moderna y la corrupción. Al realizar sus evaluaciones de riesgo de proveedores, asegúrese de tener en cuenta los riesgos ESG, no solo para sus proveedores directos, sino también para los proveedores de cuarta y enésima parte de su cadena de suministro ampliada.
4. Manténgase al día con el cumplimiento normativo a medida que evolucionan las regulaciones.
La evaluación del cumplimiento normativo por parte de terceros es un elemento fundamental de una estrategia eficaz de gestión de riesgos de proveedores. El cumplimiento normativo debe integrarse en todos los niveles de su programa de gestión de riesgos de proveedores, desde la búsqueda y selección hasta la salida de la empresa. La realización de una evaluación anual de los riesgos de los proveedores permite identificar posibles deficiencias en el cumplimiento normativo y abordarlas con las partes interesadas pertinentes.
Las evaluaciones periódicas también le permiten evaluar su programa de cumplimiento actual en relación con las normativas que puedan haberse publicado o actualizado desde que incorporó a un proveedor. Por ejemplo, la Ley alemana de diligencia debida en la cadena de suministro incluye varios requisitos fundamentales para que las organizaciones combatan la esclavitud moderna en sus cadenas de suministro. Evaluar de forma proactiva el riesgo en relación con normativas que aún no se hayan aplicado le permite evitar situaciones en las que pueda tener que cambiar de proveedor o requerir medidas correctivas adicionales antes de renovar el contrato.
5. Cubrir las lagunas entre evaluaciones con un seguimiento continuo
Es fundamental evaluar a los proveedores a medida que se incorporan, y es igualmente importante realizar evaluaciones de riesgos continuas y periódicas (por ejemplo, anualmente) para estar al tanto de los riesgos emergentes y los cambios en las operaciones de cada proveedor. Sin embargo, pueden surgir nuevas amenazas y debilidades que afecten a su negocio en cualquier momento. Por supuesto, no es práctico y es prácticamente imposible realizar evaluaciones de proveedores basadas en cuestionarios a diario o incluso mensualmente. Ahí es donde pueden ayudar las soluciones de supervisión continua de riesgos. Al escanear y analizar continuamente miles de fuentes de inteligencia cibernética, empresarial, financiera y reputacional sobre un proveedor, puede identificar y actuar ante los riesgos emergentes antes de que afecten a su organización.
Próximos pasos
Las evaluaciones de riesgo de los proveedores pueden mejorar la resiliencia de su organización frente a las interrupciones de la cadena de suministro debidas a fallos empresariales, reducir el riesgo y el impacto de las violaciones de datos de terceros y minimizar el daño a la reputación derivado de las deficiencias en las prácticas ESG de los proveedores.
¿Se pregunta cómo empezar? Obtenga más información sobre nuestras solucionesde gestión de riesgos de proveedores, nuestro servicio de supervisión de riesgos de proveedores y nuestro servicio de diligencia debida en materia de adquisiciones . ¿Le interesa saber si las soluciones y servicios de Prevalent pueden ser adecuados para su organización? Solicite una demostración.
Nota de la Redacción: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido se ha actualizado desde entonces para incluir información alineada con nuestras ofertas de productos, cambios normativos y cumplimiento.
