Gestión del riesgo de los proveedores: La guía definitiva

La gestión del riesgo de los proveedores (SRM) se plantea cada vez más como un tema a nivel directivo, a medida que las preocupaciones por la continuidad del negocio y la gestión del ciclo de vida de los productos adquieren mayor importancia. Empiece a aplicar estas prácticas recomendadas para abordar el riesgo de los proveedores en su organización.

Personal de Mitratech
Personal de Mitratech Agosto 1, 2024 23 minutos de lectura
Decorative image

¿Qué es la gestión de riesgos de proveedores?

La gestión de riesgos de proveedores (SRM) es la práctica de identificar, analizar y abordar los riesgos que pueden surgir al trabajar con proveedores externos. Estos riesgos incluyen violaciones de datos, fallos operativos y otras interrupciones comerciales que pueden afectar a los proveedores de una organización y, por lo tanto, limitar su capacidad para entregar productos y servicios a sus clientes.

Una cadena de suministro se define, en términos generales, como la secuencia de procesos necesarios para producir un producto o mercancía. Estas secuencias pueden ser cortas y sencillas, como en el caso de un agricultor que vende sus productos en un mercado agrícola, o largas y complejas, como en el caso de una empresa de productos de consumo que diseña y comercializa sus productos, pero que depende de cientos de terceros, cuartos y enésimos para obtener materias primas, ensamblar, empaquetar y distribuir.

El objetivo de la SRM es mantener la continuidad de la cadena de suministro en caso de que se produzca un incidente que pueda afectar negativamente a las relaciones comerciales, el servicio al cliente y la rentabilidad. Los programas eficaces de SRM dan prioridad a los riesgos interdependientes que pueden provocar interrupciones en la cadena de suministro y tiempos de inactividad mediante evaluaciones de proveedores, supervisión continua, análisis de datos y mapas de riesgos. Los programas bien diseñados también incluyen procesos de mitigación y transferencia de riesgos, así como la capacidad de medir y analizar indicadores clave de rendimiento (KPI) para la optimización continua del programa.

Comprender claramente el riesgo que suponen los proveedores permite a la organización prepararse mejor y responder ante posibles interrupciones en la entrega de productos y servicios. Además, la planificación puede ayudar a las organizaciones a implementar soluciones automatizadas de gestión del riesgo de los proveedores para asumir parte de la carga.

Por qué la gestión del riesgo de los proveedores es fundamental hoy en día

Hoy en día, la gestión del riesgo de los proveedores marca la diferencia entre el éxito y el fracaso para muchas organizaciones. La pandemia de COVID-19, la inestabilidad geopolítica, el cambio climático, los desastres naturales y otros acontecimientos han llevado a muchas empresas a revisar sus enfoques de SRM. Si bien las cadenas de suministro «justo a tiempo» y la externalización global redujeron los costes y aumentaron la eficiencia en épocas de estabilidad, estas prácticas han dejado a las cadenas de suministro expuestas a amenazas existenciales en los últimos años.

Aunque es posible que no pueda predecir interrupciones específicas, un programa integral y eficaz de gestión de riesgos de proveedores ayudará a su organización a prepararse para acontecimientos inesperados. También aborda temas a nivel directivo, como la resiliencia operativa, la continuidad del negocio y la gestión del ciclo de vida de los productos.

Tipos y ejemplos de riesgos relacionados con los proveedores

Tipos de riesgos en la cadena de suministro

Riesgos de ciberseguridad

Algunos de los riesgos más importantes a los que se enfrentan las cadenas de suministro del siglo XXI son las violaciones de datos y otros incidentes cibernéticos, que pueden poner en peligro a los proveedores, a sus clientes e incluso a los clientes de sus clientes. En muchos casos, las grandes empresas cuentan con sólidos programas de ciberseguridad, pero estos no siempre se extienden a organizaciones de terceros que pueden tener conocimientos y capacidades de ciberseguridad sustancialmente menores. Por ejemplo, en 2013 Target sufrió una violación masiva de datos que expuso la información de identificación personal de hasta 40 millones de consumidores. El punto de entrada de los atacantes fue un subcontratista de climatización que había prestado servicios a numerosas tiendas de Target.

La filtración de Target expuso la información personal identificable de 40 millones de consumidores.


La violación de SolarWinds

Otro ejemplo destacado es el ataque a SolarWinds en 2020, que comprometió la plataforma Orion de la empresa. Este fue uno de los ciberataques más sofisticados y de mayor alcance de la historia reciente. La violación de la cadena de suministro de SolarWinds ha causado estragos entre los consumidores de Orion en todo el mundo, a pesar de sus esfuerzos por reconocer y minimizar los riesgos. De hecho, un estudio reveló que el coste medio para las empresas afectadas por el ataque a SolarWinds fue de unos 12 millones de dólares.

Prevalent descubrió que el 37 % de las partes afectadas no contaban con una política documentada de gestión de incidentes para responder a la brecha de seguridad de SolarWinds. Esta intrusión tomó por sorpresa a muchas organizaciones, revelando deficiencias en los procedimientos internos relacionados con la notificación a los clientes y la falta de una planificación adecuada para responder a incidentes.

El 37 % de las partes afectadas por la violación de SolarWinds no contaban con una política de gestión de incidentes.

La violación de SolarWinds es un ejemplo destacado de cómo las organizaciones pueden sufrir efectos en cadena debido a los riesgos de ciberseguridad de la cadena de suministro. Aunque los proveedores directos de una organización no utilizaran SolarWinds, es posible que sus subcontratistas sí lo hicieran. Este es también un ejemplo de riesgo de cuarta parte, en el que las deficiencias en materia de ciberseguridad de subcontratistas desconocidos podrían afectar negativamente a una cadena de suministro existente (e incluso cuidadosamente gestionada). Estos riesgos subrayan la importancia de conocer de forma detallada y completa su cadena de suministro, incluidos los subcontratistas, tener en cuenta con precisión los riesgos potenciales y crear de forma proactiva un plan de respuesta a incidentes para cuando se produzcan.

Riesgos de cumplimiento

Las recientes interrupciones en las cadenas de suministro globales han aumentado el interés por la SRM, no solo a nivel directivo, sino también entre los reguladores y legisladores. Aunque varias normativas incluyen requisitos que regulan los riesgos de seguridad informática de los proveedores, la mayoría de las organizaciones basan sus programas de cumplimiento en las mejores prácticas descritas por el NIST o la ISO.

NIST

Las organizaciones que manejan información del gobierno de los Estados Unidos deben cumplir con las directrices del NIST (Instituto Nacional de Estándares y Tecnología). Dado que el NIST publica recursos para la gestión de riesgos aplicables a cualquier empresa, casi el 50 % de las organizaciones del sector privado también han adoptado sus directrices. Varias publicaciones especiales del NIST describen los controles que abordan la seguridad informática de los proveedores, entre ellas la SP 800-53, la SP 800-161 y el Marco de Ciberseguridad del NIST.

ISO

La Organización Internacional de Normalización (ISO) es un organismo de expertos que desarrolla normas voluntarias y consensuadas para resolver retos globales. Las normas de gestión de la seguridad de la información de la ISO pertenecen a la familia ISO 2700, siendo las más conocidas la ISO 27001 y la ISO 27002. La sección 15 de las normas ISO 27001 e ISO 27002 resume los requisitos para tratar de forma segura con diversos tipos de terceros. Esto se suma a la norma ISO 270036-2, que se centra específicamente en los requisitos de seguridad de la información para las relaciones entre proveedores y adquirentes.

Normativa fuera del ámbito de la seguridad informática

La seguridad informática no es la única categoría de riesgo de cumplimiento normativo en lo que respecta a las relaciones con los proveedores. Por ejemplo, varias normativas ESG exigen la supervisión de las prácticas de los proveedores en materia de cambio climático y sostenibilidad (E), justicia social, igualdad salarial, protección de los trabajadores (S), gobernanza, lucha contra el soborno y la corrupción, y diversidad (G).

Riesgos empresariales y financieros

Los riesgos de la cadena de suministro empresarial pueden adoptar muchas formas. Por ejemplo, un proveedor clave podría declararse en quiebra y no poder cumplir con sus contratos. De hecho, algunos estudios muestran que el 25 % de las empresas se han visto afectadas por la quiebra financiera de un proveedor en el último año.

El 25 % de las empresas se ven afectadas por las dificultades financieras de sus proveedores.

Las fusiones y adquisiciones también pueden indicar un cambio de estrategia o una consolidación del mercado que podría afectar a la prestación de servicios, los precios o las condiciones contractuales. Además, la rotación de directivos o los problemas legales pueden afectar a la cultura, la estrategia y la capacidad de una organización para cumplir sus objetivos.

Las organizaciones también están cada vez más sujetas a sanciones normativas por la divulgación de información financiera y cuestiones éticas. Por ejemplo, la Oficina del Contralor de la Moneda (OCC) ofrece orientación específica a los bancos que establecen relaciones con terceros, como proveedores de servicios en la nube, agregadores de datos, empresas de tecnología financiera y subcontratistas.

Al evaluar a los posibles proveedores, es fundamental conocer la situación financiera de la organización, las obligaciones contractuales existentes y otros factores que podrían impedirles ejecutar eficazmente su contrato. Cuantas menos diligencias debidas se realicen antes de contratar a un proveedor, más probabilidades habrá de que se produzca una interrupción significativa de la actividad empresarial.

Contar con una estrategia formal y documentada de gestión de riesgos de terceros puede ayudar a gestionar estos riesgos. Los proveedores deben evaluarse de manera uniforme basándose en un conjunto predeterminado de métricas que faciliten la comparación entre proveedores competidores y la identificación de posibles proveedores que puedan tener dificultades para cumplir con sus obligaciones contractuales.

Riesgos del evento

La globalización ha hecho que las cadenas de suministro sean mucho más complejas. Por ejemplo, un desastre natural como un huracán, un incendio forestal, un terremoto o un tsunami en un país puede afectar a las cadenas de suministro de todo el mundo. Se prevé que el riesgo de sufrir interrupciones en la cadena de suministro debido a desastres naturales aumente como consecuencia del cambio climático.

Un cambio en las condiciones políticas o en la situación de seguridad del país de un proveedor clave también puede provocar perturbaciones negativas en el suministro. Algunos ejemplos son los conflictos, como las guerras, los cambios en la política fiscal, los problemas de estabilidad interna y los embargos comerciales. Por lo tanto, es fundamental supervisar las condiciones políticas, sociales y económicas de las regiones de los proveedores y analizar su posible impacto en la cadena de suministro. La visibilidad de las infracciones de la Oficina de Control de Activos Extranjeros (OFAC), las empresas estatales y las personas políticamente expuestas (PEP) es fundamental para comprender los riesgos geopolíticos.

A continuación se presentan algunos ejemplos significativos de riesgos relacionados con eventos:

Ejemplos recientes de riesgos relacionados con eventos de proveedores


La pandemia de COVID-19

La pandemia de COVID-19 es un claro ejemplo de cómo una crisis sanitaria puede alterar las cadenas de suministro a escala mundial. En enero y febrero de 2020, China se encontraba en el epicentro de la crisis de la COVID-19, lo que provocó interrupciones generalizadas en la cadena de suministro, agravadas por cambios drásticos en la demanda de determinados productos. Por ejemplo, se interrumpieron las cadenas de suministro de equipos de protección personal clave, como mascarillas respiratorias N95 y protectores faciales, mientras que la demanda se disparó. Las interrupciones se extendieron a las líneas de suministro de bienes de consumo a medida que avanzaba la pandemia, y las nuevas variantes provocaron nuevos confinamientos a escala mundial.

La guerra en Ucrania

La invasión de Ucrania por parte de Rusia en 2022 obligó a varios fabricantes mundiales a detener la producción
y amenazó el suministro mundial de trigo. Empresas como Carlsberg, Coca-Cola, Mondelez International, Nestlé y el fabricante de acero y minero ArcelorMittal han suspendido sus operaciones hasta el momento. Ucrania es también uno de los principales productores de metales raros como el cobre, que es un insumo importante para muchos productos manufacturados y electrónicos. Estas interrupciones han obligado a las empresas a recabar información de los proveedores con operaciones en Ucrania y a ajustar sus calendarios y procesos de producción en consecuencia.

Las sanciones son otra consideración adicional. En el ejemplo de la invasión rusa de Ucrania, varios países impusieron bloqueos a las exportaciones y sanciones al Gobierno ruso, lo que ha afectado a la capacidad de las empresas rusas para realizar negocios internacionales. En respuesta a ello, los expertos predicen un aumento de los ciberataques rusos contra los gobiernos occidentales y las empresas con sede en Occidente.

La obstrucción del Canal de Suez

Otro ejemplo reciente de una interrupción imprevista de la cadena de suministro es el bloqueo del Canal de Suez por un buque portacontenedores gigante durante seis días en marzo de 2021, lo que provocó un retraso estimado de 9600 millones de dólares diarios en el comercio.

Es imposible predecir pandemias, guerras o desastres con mucha antelación, pero sí es posible mitigar el riesgo y amortiguar su impacto en su organización. Además de contar con un plan, las organizaciones también pueden realizar simulaciones en sus cadenas de suministro. Estas simulaciones pueden ayudarle a comprender las partes más vulnerables de su cadena de suministro y cómo los desastres naturales afectarían a las operaciones comerciales.

Responsabilidad social corporativa y riesgos ESG

El concepto de ser un «buen ciudadano corporativo» existe desde hace tiempo, pero está evolucionando a medida que aumenta la concienciación. En un momento dado, las organizaciones podían cumplir con la definición de responsabilidad social corporativa (RSC) retribuyendo a la comunidad mediante donaciones de tiempo y dinero. Sin embargo, la RSC se asocia cada vez más con prácticas ambientales, sociales y de gobernanza (ESG). Estas incluyen los enfoques de su empresa en materia de sostenibilidad ambiental, sus relaciones con los clientes, los empleados y las comunidades, y cómo aborda la remuneración de los ejecutivos, los controles internos y los derechos de los accionistas.

Además, un problema cada vez más grave en varios sectores es el uso de mano de obra esclava e infantil, por ejemplo:

  • La difícil situación de la minoría uigur ha ejercido presión sobre las organizaciones que fabrican productos en China. Un informe de 2020 nombró a 83 marcas globales que utilizan fábricas con mano de obra forzada en China, entre ellas Nike, Gap, Target, Apple y H&M. Además de la creciente presión para que los consumidores boicoteen estas marcas, en 2021 el Congreso aprobó la Ley de Prevención del Trabajo Forzado Uigur para bloquear la importación de productos relacionados con el trabajo forzado en China.
  • Las noticias sobre el uso de mano de obra infantil en la minería del cobalto utilizado en las baterías pusieron el foco en las prácticas de la cadena de suministro de Apple, Microsoft, Tesla, Samsung y otras empresas. Además del daño a su reputación, varias de estas empresas se enfrentaron a demandas judiciales por sus prácticas.
  • En marzo de 2024, un fabricante de piezas de Tennessee, que suministra a grandes empresas como John Deere y Yamaha, fue obligado a entregar 1,5 millones de dólares de beneficios después de que el Departamento de Trabajo descubriera que empleaba a niños en trabajos peligrosos. Además, la empresa fue multada con 296 951 dólares por someter a «10 niños a trabajo infantil opresivo», según el departamento.

La presión regulatoria también está aumentando. La Comisión de Bolsa y Valores de Estados Unidos (SEC) adoptó recientemente enmiendas que exigirán «cierta información relacionada con el clima en sus declaraciones de registro e informes anuales», incluidas «las cadenas de valor ascendentes y descendentes». El Parlamento de la Unión Europea (UE) presentó mandatos para que las empresas de la UE «identifiquen y, cuando sea necesario, prevengan, pongan fin o mitiguen los efectos adversos de sus actividades sobre los derechos humanos, como el trabajo infantil y la explotación de los trabajadores, y sobre el medio ambiente, por ejemplo, la contaminación y la pérdida de biodiversidad».

Riesgos de capacidad

Ya sea por acontecimientos empresariales, condiciones económicas o desastres naturales, es posible que los proveedores no puedan cumplir con sus plazos de entrega. Por eso es importante medir continuamente la capacidad de los proveedores, lo que incluye realizar un seguimiento del estado actual de los pedidos, el rendimiento en comparación con el historial de pedidos, las respuestas de los proveedores y las confirmaciones. Una visión proactiva de la capacidad de los proveedores puede ayudar a su organización a ser más ágil cuando se produce una interrupción.

Riesgos de rendimiento

Estrechamente relacionado con los riesgos de capacidad está la medición de los riesgos de rendimiento de los proveedores, también denominados indicadores clave de rendimiento (KPI), que pueden incluir métricas de calidad, puntualidad en las entregas y otros riesgos para cumplir con los niveles de servicio acordados. Para gestionar el rendimiento de los proveedores es fundamental disponer de un panel de control claro que proporcione visibilidad a nivel empresarial y establecer cláusulas contractuales con acuerdos de nivel de servicio (SLA) exigibles.

Preocupaciones específicas del sector en materia de gestión de riesgos de los proveedores

Cada sector se enfrenta a retos únicos a la hora de tratar con proveedores de terceros, cuartos y enésimos. Es fundamental tener en cuenta los factores específicos de su sector, así como realizar revisiones periódicas y detalladas para determinar si los cambios en el sector pueden poner en peligro su cadena de suministro.

Riesgos específicos de la cadena de suministro del sector

Preocupaciones sobre la gestión de las relaciones con los proveedores (SRM) en el sector sanitario

La pandemia de COVID-19 puso de manifiesto muchas deficiencias en la cadena de suministro sanitario de EE. UU. La escasez de equipos de protección individual (EPI) y otros dispositivos médicos esenciales se prolongó durante meses. El sector sanitario se enfrenta a muchos riesgos únicos en la cadena de suministro debido a la naturaleza impredecible de las crisis sanitarias y al alcance global de las crisis de la cadena de suministro provocadas por la demanda.

Las organizaciones sanitarias con sede en EE. UU. también deben prestar especial atención a las leyes de privacidad de datos y a la ciberseguridad de la cadena de suministro. En muchos casos, los proveedores externos estarán obligados a cumplir las mismas normas de ciberseguridad que las organizaciones sanitarias en virtud de normativas como la cláusula de «socios comerciales» de la HIPAA. Para obtener más información sobre cómo mejorar la gestión de riesgos de socios (SRM) en toda la cadena de suministro sanitario, recomendamos consultar la presentación de diapositivas sobre gestión de riesgos de la cadena de suministro cibernética (C-SCRM) del Departamento de Salud y Servicios Humanos (HHS).

Problemas relacionados con la fabricación y la venta al por menor en SRM

Las organizaciones manufactureras y minoristas deben prestar mucha atención al creciente interés de la sociedad por las prácticas ESG (medioambientales, sociales y de gobernanza). Los inversores y los gobiernos examinan cada vez más de cerca la forma en que los fabricantes y minoristas obtienen sus materiales, no solo a través de terceros, sino también a través de la cadena de suministro ampliada de cuartos y enésimos.

Los requisitos de cumplimiento de ESG, como la Directiva europea sobre la diligencia debida de las empresas, establecen la obligación de examinar de forma afirmativa la cadena de suministro en busca de trabajo esclavo y otras prácticas inmorales, y las multas por incumplimiento pueden ser elevadas. Recomendamos que las organizaciones manufactureras y minoristas se aseguren de forma proactiva de que se tenga en cuenta el ESG en cada paso del ciclo de vida de la gestión de riesgos de los proveedores por motivos de cumplimiento, ética y reputación. Sin duda, la normativa se endurecerá en este ámbito, por lo que adoptar un enfoque proactivo en materia de ESG reducirá sin duda los retos futuros para su organización.

Servicios de TI, software y ciberseguridad de la cadena de suministro

A primera vista, las organizaciones de servicios informáticos y de software pueden no estar sujetas a los mismos niveles de riesgo de proveedores que otras empresas de otros sectores. La mayoría de las empresas de software no necesitan adquirir productos y materias primas de países políticamente inestables, y la mayoría no tiene que preocuparse tanto por los desastres naturales que afectan a los proveedores externos. Sin embargo, corren un riesgo significativo de sufrir ciberataques.

En los últimos años, los actores maliciosos han recurrido cada vez más a comprometer a terceros de empresas de software y TI para distribuir malware y dañar a los clientes. Estos ataques ilustran la importancia crítica para las empresas de TI y otras empresas de evaluar rigurosamente las prácticas de seguridad de la información de los proveedores de software externos y otras organizaciones con acceso a infraestructura de TI sensible.

Estos problemas son especialmente graves para los MSP y otros proveedores de servicios de TI con clientes en múltiples sectores verticales. Por ejemplo, la brecha de seguridad de Kaseya en 2021 aprovechó una vulnerabilidad en una solución utilizada por los proveedores de servicios gestionados (MSP). A su vez, el exploit permitió a los atacantes distribuir ransomware a los clientes de los MSP que utilizaban la solución de Kaseya.

Comprender el riesgo perfilado, inherente y residual en la cadena de suministro

El riesgo de los proveedores se puede clasificar, en términos generales , en tres categorías: riesgo inherente, riesgo perfilado y riesgo residual. Comprender estas categorías de riesgo le permitirá priorizar eficazmente los recursos y mitigar el riesgo en toda la cadena de suministro ampliada.

Riesgo perfilado, inherente y residual

Riesgo de proveedor perfilado

El riesgo perfilado
tiene en cuenta los riesgos basados en los servicios prestados por el proveedor, los tipos de datos y sistemas a los que tiene acceso y el sector en el que opera. Por ejemplo, si una empresa manufacturera obtiene el 90 % de sus materias primas de un único proveedor en un país políticamente inestable, dicho proveedor tendría un riesgo perfilado alto. Por el contrario, un proveedor de un único componente menor y fácilmente reemplazable tendría un riesgo de perfil bajo. Al considerar los riesgos de perfil de los proveedores, hay que tener en cuenta:

  • Requisitos de cumplimiento: Las próximas normas de diligencia debida ( ), como el proyecto de directiva europea sobre la diligencia debida de las empresas, probablemente impondrán fuertes multas a las organizaciones que no incorporen las mejores prácticas ESG en la cadena de suministro. Los proveedores con una alta probabilidad de presentar problemas ESG, o con un historial deficiente en la gestión de ESG, representan un riesgo más elevado.
  • Acceso a datos y sistemas informáticos: El riesgo perfilado de un proveedor externo está directamente relacionado con el alcance y el tipo de datos y sistemas informáticos a los que tiene acceso. Las organizaciones con altos niveles de acceso a información confidencial tienen un riesgo perfilado más elevado. Si un proveedor almacena, procesa o interactúa con los datos de su empresa, su programa de seguridad es, en la práctica, su programa de seguridad.
  • Ubicación: Las organizaciones que operan en entornos políticamente inestables representan un riesgo mayor que aquellas que no lo hacen. La inestabilidad política puede interrumpir rápidamente las cadenas de suministro, comprometer datos confidenciales y provocar otras consecuencias adversas difíciles de predecir.

Los gestores de riesgos de proveedores deben tener en cuenta muchos factores a la hora de evaluar el riesgo perfilado de los posibles proveedores. No cometa el error de saltarse el paso del riesgo perfilado, ya que proporciona un contexto fundamental para seleccionar los cuestionarios para cada nivel de proveedores en su ecosistema de terceros. Sin una comprensión del riesgo perfilado, inevitablemente hará preguntas equivocadas, obtendrá datos irrelevantes y terminará con puntuaciones de riesgo inherente inexactas.

Riesgo inherente al proveedor

El riesgo inherente indica el nivel de riesgo de un proveedor antes de tener en cuenta los controles específicos exigidos por su organización. Por ejemplo, si una organización sanitaria está buscando empresas de análisis de datos que le ayuden a procesar los datos de los pacientes, una empresa que no disponga de documentación que demuestre que cumple con las políticas de la HIPAA representaría un riesgo inherente inaceptablemente alto. El hospital tendría la opción de exigir al proveedor que implementara políticas y procedimientos que cumplieran con la HIPAA o rescindir el contrato. Al analizar el riesgo inherente de un proveedor potencial, tenga en cuenta lo siguiente:

  • Si el proveedor sufriera un ciberataque grave que le impidiera cumplir con su contrato, ¿su cadena de suministro sufriría una interrupción importante?
  • ¿Cumple actualmente el proveedor todos los requisitos de cumplimiento que se derivarían de su organización? (por ejemplo, HIPAA, CCPA, GDPR)
  • ¿Cuenta el proveedor con su propio programa de gestión de riesgos de proveedores que le permita seguir realizando entregas en caso de interrupción por parte de un cuarto o enésimo proveedor?
  • ¿El proveedor potencial cuenta con un programa de cumplimiento de ESG? ¿Evalúa a los terceros y cuartos para detectar sobornos, corrupción, esclavitud moderna y otros riesgos de ESG?

Hacer estas y otras preguntas relevantes puede ayudarle a discernir el riesgo inherente que un proveedor potencial supone para su organización y su cadena de suministro. Obtener respuestas a estas preguntas le permitirá redactar un conjunto detallado de requisitos para un proveedor basándose en una combinación de su perfil y su riesgo inherente.

Riesgo residual del proveedor

El riesgo residual es el riesgo que permanece después de que un proveedor haya implementado con éxito los controles exigidos por su organización. Independientemente del riesgo perfilado del proveedor, el riesgo inherente y las actividades de corrección, siempre quedará algún riesgo residual. El objetivo de un programa eficaz de gestión del riesgo de los proveedores es reducir el riesgo residual a un nivel que su organización pueda tolerar en toda su cadena de suministro ampliada.

Para alcanzar un nivel aceptable de riesgo residual, deberá asegurarse de que todos los proveedores cumplan los requisitos «imprescindibles» de su organización para garantizar unas cadenas de suministro seguras y conformes. Estos requisitos pueden incluir:

  • Programas de seguridad de la información sólidos y documentados.
  • Planificación exhaustiva de la recuperación ante desastres
  • Visibilidad de cuartos y enésimos terceros
  • Un programa de cumplimiento de ESG
  • Visibilidad en el abastecimiento de materias primas (por ejemplo, minerales conflictivos).

Tenga en cuenta que el riesgo residual no es estático a lo largo del ciclo de vida de la gestión de riesgos de los proveedores. Es fundamental supervisar a los terceros a lo largo del ciclo de vida del contrato para estar al tanto de los cambios en el riesgo residual que se derivan de cambios organizativos o ambientales.

Esquema de una estrategia de gestión de riesgos de proveedores

Estrategia de gestión de riesgos de proveedores

1. Formar un equipo SRM interdepartamental.

Identificar y cuantificar el riesgo de los proveedores puede parecer abrumador a primera vista, por lo que es esencial contar con el equipo adecuado para la gestión y el control de su programa de SRM. Entre los participantes pueden figurar representantes de los equipos de compras y abastecimiento, gestión de riesgos, seguridad y TI, asuntos legales y cumplimiento normativo, y privacidad de datos. También es fundamental colaborar con los equipos de gestión de productos y fabricación para comprender los riesgos potenciales en cada nodo de la cadena de valor.

2. Seleccionar un marco de gestión de riesgos

Basar su programa de SRM en un marco de gestión de riesgos puede proporcionarle una base de buenas prácticas y orientación. Muchas organizaciones se alinean con los marcos NIST o ISO, dependiendo de su sector y otros factores. Las directrices específicas del NIST
que deben tenerse en cuenta son NIST CSF v2.0, NIST SP 800-53 y NIST SP 800-161. En cuanto a las normas ISO, comience con ISO 27001 e ISO 27036-2.

3. Tener en cuenta el riesgo en los procesos de RFx con la debida diligencia previa al contrato.

Al evaluar nuevos proveedores, asegúrese de que los procesos de solicitud de propuestas (RFP), solicitud de información (RFI) y otros procesos de solicitud de ofertas (RFx) incluyan la recopilación de información sobre riesgos comerciales, financieros y de reputación a partir de fuentes que incluyan:

  • Noticias empresariales (por ejemplo, fusiones y adquisiciones, medidas normativas y legales, cambios operativos y cambios en la dirección).
  • Cobertura mediática adversa (por ejemplo, infracciones de ESG, esclavitud moderna, soborno, corrupción)
  • Listas de violaciones de datos
  • Registros financieros
  • Listas de sanciones (por ejemplo, OFAC, UE, ONU, BOE, FBI, BIS, etc.)
  • Listas de cumplimiento globales y documentos judiciales (por ejemplo, FDA, US HHS, UK FSA, SEC, etc.)
  • Listas de empresas estatales
  • Listas de personas políticamente expuestas (PEP)

Las redes de inteligencia de riesgos y los servicios de perfilado de riesgos pueden ayudar a automatizar este proceso. Cuando se seleccionen nuevos proveedores, asegúrese de contar con un proceso sólido de gestión del ciclo de vida de los contratos para agilizar y proteger el proceso.

4. Centralizar la visibilidad sobre los perfiles de los proveedores

Crear y mantener una base de datos centralizada de proveedores es esencial para garantizar la eficacia del programa de gestión de relaciones con los proveedores (SRM). La base de datos debe incluir perfiles completos de los proveedores y proporcionar acceso basado en funciones a los contactos de la empresa, datos demográficos, conexionescon terceros y cuartos, e información sobre riesgos, comenzando por los datos de riesgo perfilados y la información sobre riesgos externos recopilados durante la fase de abastecimiento y selección.

5. Clasificar y categorizar a los proveedores en función del riesgo inherente

Para garantizar la eficacia del programa SRM y aprovechar al máximo los recursos limitados, conviene clasificar y jerarquizar a los proveedores en función de su riesgo inherente. Como se ha mencionado anteriormente, el riesgo inherente es el riesgo de un proveedor antes de tener en cuenta los controles específicos exigidos por su organización. Una puntuación eficaz del riesgo inherente (véase el cuadro siguiente) puede combinar los datos obtenidos a partir de sencillos cuestionarios internos y de cualquier dato externo sobre riesgos recopilado durante la fase de abastecimiento.

Matriz de riesgos de proveedores

Una tabla sencilla de puntuación de riesgos SRM

6. Realizar evaluaciones periódicas de riesgos para garantizar el cumplimiento.

Una vez que haya perfilado, categorizado y clasificado a sus proveedores, debería resultarle fácil determinar la frecuencia y el alcance de las futuras evaluaciones de riesgos para cada categoría de proveedores. Por ejemplo, puede realizar evaluaciones anuales de los proveedores críticos basándose en los estándares del sector, los mandatos normativos o los requisitos específicos de la organización. Las evaluaciones pueden solicitar información sobre los controles de seguridad internos, los planes de continuidad del negocio, los planes de recuperación ante desastres y mucho más. Para obtener más detalles sobre los tipos de evaluación, consulte nuestra entrada del blog «Cómo seleccionar un cuestionario de evaluación de riesgos de proveedores».

7. Supervisar continuamente los riesgos de los nuevos proveedores

Los riesgos relacionados con los proveedores surgen constantemente como respuesta a los rápidos cambios en el entorno económico, geopolítico y de ciberseguridad. Por lo tanto, es importante supervisar continuamente a los proveedores críticos para detectar nuevos riesgos comerciales, financieros, de reputación y cibernéticos. Esta información puede utilizarse para ajustar las puntuaciones de riesgo de los proveedores y poner en marcha actividades de respuesta, mitigación y corrección, como la búsqueda de nuevos proveedores, la modificación de las rutas de envío o la solicitud de evaluaciones adicionales.

8. Garantizar el cumplimiento del acuerdo de nivel de servicio (SLA) y los requisitos de rendimiento.

Muchos de los mecanismos de evaluación y supervisión que se analizan en este artículo también se pueden personalizar para evaluar el rendimiento de los proveedores en relación con los acuerdos de nivel de servicio (SLA) y otros requisitos contractuales. Comience por establecer indicadores clave de rendimiento (KPI) para los proveedores y asigne umbrales y responsables para cada KPI en función de las características del contrato. Una plataforma automatizada puede activar alertas cuando no se cumplen los KPI o cuando se superan los indicadores clave de riesgo (KRI).

9. Protegerse contra los riesgos cuando finalizan los contratos con los proveedores

El proceso de salida suele pasarse por alto en la gestión de riesgos de los proveedores, por lo que los riesgos de seguridad suelen aumentar tras la finalización de un contrato. Por eso es fundamental revisar los perfiles de los proveedores con los que se rescinde el contrato y realizar evaluaciones de salida. Estas evaluaciones pueden utilizarse para validar que se cumplen las condiciones finales del contrato, se realizan las entregas, se revoca el acceso físico y/o informático, se devuelven los activos y se destruyen los datos confidenciales. Aquí tiene una lista de verificación de salida para empezar.

Consejos para su programa SRM

Reconozca que el riesgo de los proveedores no se limita a terceros

El riesgo de una organización no se limita a sus socios y proveedores directos (terceros). También pueden causar daños sus socios, conocidos como «cuartos», así como aquellos que se encuentran más abajo en la cadena de suministro. El reto de reconocer a estas organizaciones, los riesgos asociados que plantean los terceros y su capacidad para administrar y aplicar controles contra esos riesgos es motivo de gran preocupación para las empresas en la actualidad. La complejidad que implica evaluar y responder a este tipo de riesgos requiere un programa de gestión de riesgos de terceros sólido y completo .

Crear planes de respuesta ante incidentes para los principales proveedores.

Por muy sólidos que sean sus programas de SRM y aprovisionamiento, siempre surgirán problemas. Para las partes especialmente críticas de su cadena de suministro, dedique tiempo a elaborar planes de contingencia que le permitan reaccionar rápidamente en caso de incidente. Esto puede marcar la diferencia entre una interrupción generalizada en toda su organización o un pequeño contratiempo en las operaciones. Cuanto más importante sea el proveedor, más crucial será que elabore planes de respuesta a incidentes específicos y viables.

Implementar un programa de formación en SRM.

Para las organizaciones más grandes, puede resultar extremadamente difícil garantizar cadenas de suministro seguras y sólidas en toda la empresa. Es posible que los distintos departamentos cuenten con sistemas independientes para la búsqueda y selección de proveedores, por lo que puede resultar complicado identificar y realizar un seguimiento de todos los proveedores externos (y, a su vez, de sus cadenas de suministro).

Un programa de formación en SRM puede ayudar a alinear a los responsables de la toma de decisiones en toda la organización y proporcionar normas claras sobre cómo deben incorporar, supervisar, gestionar y dar de baja a terceros tanto los individuos como los departamentos. Sin unas normas claras que se hayan comunicado de forma adecuada y uniforme, un programa de SRM puede descarrilarse rápidamente.

Próximos pasos

¿Se pregunta cómo empezar? Obtenga más información sobre nuestras soluciones para la gestión de riesgos de proveedores, nuestro servicio de supervisión de riesgos de proveedores y nuestro servicio de diligencia debida en materia de adquisiciones. ¿Le interesa saber si las soluciones y servicios de Prevalent pueden ser adecuados para su organización? Solicite una demostración.

Nota de la Redacción: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido se ha actualizado desde entonces para incluir información alineada con nuestras ofertas de productos, cambios normativos y cumplimiento.
Potenciar. Automatizar. Elevar. Mitratech

©2026 Mitratech, Inc. Todos los derechos reservados.

Potenciar. Automatizar. Elevar. Mitratech

©2026 Mitratech, Inc. Todos los derechos reservados.