Los retos de la cadena de suministro han sido un tema destacado en las noticias recientemente. Entre los incidentes más notables se encuentran la filtración de datos de SolarWinds, el ataque de ransomware a Colonial Pipeline y la escasez mundial de chips. Como resultado, mejorar la resiliencia de la cadena de suministro y reducir los riesgos de la misma se han convertido en preocupaciones primordiales para muchas organizaciones, desde las empresas de la lista Fortune 500 hasta las pequeñas y medianas empresas.
Los gestores de riesgos tienen por delante una tarea difícil. Las cadenas de suministro actuales son increíblemente complejas y, en el caso de las grandes organizaciones, pueden estar formadas por miles de proveedores terceros, cuartos y enésimos. Por desgracia, muchas organizaciones carecen de la visibilidad suficiente sobre sus propios proveedores, y mucho menos sobre los proveedores de sus proveedores.
Este artículo destaca el valor de la resiliencia de la cadena de suministro y presenta cinco pasos que puede seguir para reducir el riesgo de sufrir un fallo catastrófico en la cadena de suministro. Si está interesado en obtener más información sobre cómo crear un programa sólido de gestión de riesgos de la cadena de suministro, consulte nuestro artículo sobre la gestión de riesgos de SCRM.
¿Por qué es importante la resiliencia de la cadena de suministro?
Las cadenas de suministro se han vuelto increíblemente complejas en las últimas dos décadas, a medida que se ha extendido la globalización. Como resultado, muchas organizaciones carecen de visibilidad sobre sus cadenas de suministro ampliadas, lo que puede resultar increíblemente perjudicial. Por ejemplo, es posible que los responsables de la toma de decisiones clave en las organizaciones afectadas en última instancia por la violación de Kaseya no supieran que sus MSP estaban utilizando la solución de Kaseya en primer lugar. Problemas como este pueden provocar costosos retrasos cuando se producen violaciones de datos y otros incidentes de seguridad.
Además, los ataques a la cadena de suministro son cada vez más frecuentes. Ahora los ataques se dirigen a elementos fundamentales de la cadena de suministro global, como gasoductos y plantas de procesamiento de carne. Los atacantes han descubierto que, al comprometer los puntos críticos de la cadena de suministro, pueden extorsionar con grandes pagos de rescate sin apenas esfuerzo.
Ahora es más importante que nunca tomar medidas proactivas para mejorar la resiliencia de su cadena de suministro, protegerse de los ciberataques dirigidos por proveedores y comprender el nivel de riesgo al que se enfrenta su organización.
¿Cuáles son los elementos clave para crear una cadena de suministro resiliente?
La verdad es que crear una cadena de suministro sólida y resistente es difícil. Hay que gestionar a las partes interesadas internas que tienen proveedores preferidos, así como a cientos o miles de proveedores externos, muchos de los cuales pueden suponer riesgos inaceptables para su organización. A continuación se indican los pasos que puede seguir para comprender y mitigar los riesgos como parte de un plan de resiliencia de la cadena de suministro.
Paso uno: Centralice y supervise a sus proveedores
Es fundamental obtener visibilidad sobre su cadena de suministro. Muchas organizaciones desconocen por completo con qué proveedores trabajan debido a las estructuras departamentales aisladas y a la falta de organización. Por lo tanto, el primer paso y el más importante es centralizar los datos de los proveedores en un único lugar donde se pueda realizar un seguimiento de los proveedores, los perfiles de riesgo y los contratos.
La centralización de los datos de los proveedores también permite a su equipo identificar de forma rápida y eficaz a los proveedores con un alto perfil de riesgo. La centralización de los datos de los proveedores permite disponer de un único punto de referencia para las relaciones con los proveedores; le ayuda a realizar un seguimiento sencillo del estado de los contratos, las posibles interrupciones y los posibles cambios en el riesgo inherente o perfilado casi en tiempo real.
Además de supervisar a los proveedores, también es necesario supervisar el funcionamiento de la cadena de suministro en tiempo real. Asegúrese de implementar un sistema para realizar un seguimiento de los envíos entrantes y salientes, el cumplimiento de los contratos y otros datos críticos de los proveedores. Esto puede ayudarle a detectar cualquier problema inicial que pueda causar interrupciones más adelante.
Paso dos: Identificar los proveedores críticos para la misión y mapear las dependencias
La resiliencia de la cadena de suministro depende en gran medida de identificar a los proveedores que son más críticos para su organización y luego reducir el riesgo a un nivel residual aceptable. Los proveedores críticos variarán según la industria. Por ejemplo, las empresas manufactureras corren un riesgo mucho mayor de sufrir interrupciones en el suministro de materias primas que las empresas de software. Una empresa de software como servicio puede depender por completo de un proveedor de servicios en la nube, como AWS o Azure, pero también de una empresa de contratación externalizada. A la hora de planificar cómo reducir el riesgo, lo mejor sería que se centraran no solo en los sitios de conmutación por error y las copias de seguridad de los datos, sino también en garantizar que cuentan con un proceso de respaldo para contratar talento.
Durante esta etapa, también es fundamental mapear las dependencias y comprender a los proveedores de los proveedores. Mapee los flujos de datos y las dependencias entre proveedores para visualizar las dependencias de terceros. Las plataformas de gestión de riesgos de terceros suelen tener una funcionalidad integrada que facilita el mapeo de dependencias. Sin embargo, también puede recopilar datos de dependencias como parte de un cuestionario de riesgos de terceros y trazar manualmente las relaciones de la cadena de suministro.
Otros riesgos pueden estar mucho más centralizados. Los fabricantes de automóviles están sufriendo actualmente una grave escasez de chips debido a los cierres de fábricas relacionados con la COVID en China en 2020. Esto ha resultado desastroso, ya que incluso un pequeño repunte de los casos de COVID en unos pocos países puede provocar una escasez de chips que se extienda por toda la economía y dé lugar a una inflación extrema de los precios de los vehículos nuevos y usados.
Identificar los proveedores sin los cuales su empresa no puede funcionar es un paso fundamental para desarrollar la resiliencia de la cadena de suministro. Una vez que conozca cuáles son sus proveedores críticos, deberá profundizar y comprender las cadenas de suministro de sus proveedores. Recopilar esta información le permitirá detectar problemas que podrían impedir el rendimiento de sus terceros en el futuro, al tiempo que le permitirá comprender mejor la situación de riesgo de su cadena de suministro.
Como parte de la obtención de visibilidad en su cadena de suministro y cadena de suministro ampliada, considere la posibilidad de clasificar a sus proveedores en función de la importancia crítica para el negocio. La clasificación implica, en primer lugar, comprender el riesgo perfilado de un proveedor y, a continuación, crear niveles de proveedores en función de su importancia para el negocio. Esto puede ayudar a determinar los controles adecuados que se deben implementar, así como a centrar sus esfuerzos de reducción de riesgos en los proveedores más críticos.
Paso tres: Evitar los riesgos de concentración
Contar con un ecosistema de cadena de suministro diverso puede generar mucha más redundancia y reducir el riesgo. Al incorporar nuevos proveedores, tenga en cuenta tanto el riesgo geográfico como el riesgo de terceros. ¿Hay varios proveedores que dependen del mismo proveedor externo de alto riesgo? ¿Sus proveedores se concentran en una sola zona geográfica?
Cuanto más diverso sea geográficamente el ecosistema de su cadena de suministro, mejor. Los desastres naturales pueden paralizar rápidamente una organización si afectan a varios proveedores críticos para la misión. Del mismo modo, si alguno de sus terceros depende de un único cuarto, un solo desastre, incidente financiero o problema legal podría suponer un problema para su cadena de suministro.
A la hora de incorporar nuevos proveedores, conviene tener en cuenta lo siguiente:
-
¿Es su proveedor fundamental para las operaciones comerciales?
-
¿Podría sustituirse fácilmente al proveedor en caso de interrupción de su actividad o de la de sus terceros?
-
¿Dependen de los mismos proveedores externos que otros terceros con los que trabajas?
-
¿Contratar con ellos aumentaría o reduciría la resiliencia de su cadena de suministro?
-
¿Tiene visibilidad sobre los riesgos de terceros y cuartos?
Paso cuatro: Comprenda su riesgo
Una vez que haya identificado a los proveedores críticos y tenga visibilidad de su cadena de suministro inmediata, debe comenzar a trabajar para comprender su riesgo. La aplicación de una matriz de riesgo de proveedores puede ayudar a identificar rápidamente a los proveedores que representan riesgos significativos para su organización. Una matriz de riesgo de proveedores puede permitir a su organización calificar numérica y uniformemente a los proveedores en función de una variedad de riesgos, eliminando gran parte de las conjeturas y las interpretaciones subjetivas. Los riesgos se clasifican en función de su probabilidad y gravedad, lo que le permite centrar sus esfuerzos en los riesgos que son probables y sustanciales.
El uso de una matriz de riesgo de proveedores aporta coherencia a las comparaciones entre proveedores durante el proceso de abastecimiento y selección.
Al evaluar el riesgo, también puede realizar evaluaciones básicas con respecto a los estándares y marcos del sector. Por ejemplo, si está considerando incorporar a un proveedor que manejará grandes cantidades de datos confidenciales, puede ser conveniente evaluar su cumplimiento con el Marco de Ciberseguridad del NIST o la norma ISO 27001.
Los datos y la seguridad tampoco lo son todo. También hay que tener en cuenta los riesgos reputacionales y financieros. Si alguna organización utiliza mano de obra esclava en su cadena de suministro, se corre un grave riesgo ético y de relaciones públicas. Otros riesgos ESG son la destrucción del medio ambiente, el soborno, la corrupción y otros riesgos relacionados con prácticas comerciales desagradables que empañan la reputación de la organización.
También es fundamental que evalúe los riesgos financieros de los proveedores, especialmente si presentan un riesgo elevado. Si su organización depende en gran medida de un proveedor con una estructura financiera y un rendimiento deficientes, una quiebra o interrupción repentina podría descarrilar rápidamente su cadena de suministro.
Consejo rápido: al evaluar a los proveedores para valorar la resiliencia de su cadena de suministro, asegúrese de tener en cuenta no solo a los proveedores externos, sino también a los proveedores de cuarto y enésimo nivel. Un proveedor puede parecer sólido como una roca y con un perfil de bajo riesgo, pero si depende de terceros arriesgados, puede suponer un riesgo considerable.
Paso cinco: Concéntrese en los proveedores de alto riesgo
Algunos proveedores pueden tener un riesgo bajo, pero aún así representar un nivel sustancial de riesgo inherente. Por ejemplo, si trabajas con una empresa de climatización que tiene acceso regular a tus entornos informáticos internos, el riesgo puede ser considerable. Aunque a primera vista un proveedor de climatización parezca tener un nivel de riesgo extremadamente bajo, es importante no pasar por alto su acceso y los servicios que presta.
Un retraso en la instalación de un sistema de climatización puede no poner en peligro a su organización, pero el hecho de que el proveedor de ese sistema introduzca malware en su sistema de procesamiento de tarjetas de crédito supone un riesgo extremadamente alto. Este riesgo podría mitigarse regulando cuidadosamente su acceso a los equipos informáticos, aplicando el principio del mínimo privilegio y asegurándose de que los proveedores sean efectivamente dados de baja y se les revoquen las credenciales una vez finalizado el contrato.
Otros proveedores de alto riesgo serán más evidentes. Volviendo al ejemplo de la empresa SaaS, un proveedor de servicios en la nube podría determinar el éxito o el fracaso de una empresa de software en crecimiento. Por lo tanto, tiene sentido que la empresa de software adopte estrategias serias de mitigación de riesgos, como el uso de copias de seguridad externas y una planificación exhaustiva en caso de una interrupción prolongada del servicio. Al mitigar el riesgo, su objetivo debe ser reducirlo y mejorar la resiliencia de la cadena de suministro mediante el empleo de estrategias de mitigación y la reducción del riesgo a un nivel residual aceptable.
Paso adicional: practique la mejora continua.
Crear una cadena de suministro resiliente no es un proceso que se haga de una sola vez. Debe centrarse en mejorar continuamente tanto la comprensión del riesgo que plantean los proveedores como sus estrategias de mitigación. A medida que avance en la creación de un programa completo de gestión de riesgos de terceros, le convendrá emplear cuestionarios de evaluación de riesgos de proveedores por niveles y, posiblemente, pasar a utilizar una solución de software de gestión de riesgos de terceros.
Reflexiones finales sobre la resiliencia de la cadena de suministro
La implementación exitosa de la resiliencia de la cadena de suministro permite a su organización superar a sus competidores cuando surgen riesgos que afectan al mercado en general. Invertir en sistemas de gestión de riesgos para la cadena de suministro ofrece muchas ventajas. Las organizaciones que dan prioridad al desarrollo y la implementación de una estrategia de gestión de riesgos para sus cadenas de suministro tienen más probabilidades de reducir sus riesgos que aquellas que no lo hacen.
Las empresas que implementan estrategias de gestión de riesgos en sus cadenas de suministro obtienen una clara ventaja competitiva frente a otras empresas del sector. Las organizaciones que aplican el poder de una plataforma dedicada a la gestión de riesgos de terceros a sus estrategias de mitigación de riesgos se benefician aún más.
Dé el siguiente paso hacia la creación de una cadena de suministro más resistente.
¿Se pregunta cómo empezar? Obtenga más información sobre nuestras soluciones para la resiliencia de la cadena de suministro o vea nuestro seminario web bajo demanda: Riesgos de la cadena de suministro: cuartas partes y más allá. ¿Le interesa saber si las soluciones y servicios de Prevalent pueden ser adecuados para su organización? Solicite una demostración.
Nota de la Redacción: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido se ha actualizado desde entonces para incluir información alineada con nuestras ofertas de productos, cambios normativos y cumplimiento.
