Con algunos indicadores económicos apuntando hacia una posible recesión, ahora es el momento de asegurarse de que sus proveedores, vendedores y socios cuenten con las prácticas de resiliencia empresarial necesarias para capear la tormenta financiera y mitigar el riesgo de interrupciones en el servicio o la entrega. Si un vendedor o proveedor no cumple con sus expectativas financieras, puede verse obligado a despedir empleados, cancelar contratos o ajustar sus esfuerzos de desarrollo empresarial o sus inversiones.
Aunque la economía no se encamine hacia una recesión, contar con sólidos procedimientos de resiliencia empresarial de terceros puede preparar a su organización para otras posibles perturbaciones. Para ayudarle a evaluar sus procesos, aquí tiene cinco prácticas recomendadas para evaluar la resiliencia empresarial de terceros y proveedores.
1. Establecer y aplicar medidas de disponibilidad, entrega y continuidad del negocio en el contrato con el proveedor.
El proceso de acordar y gestionar los niveles de servicio, los plazos de entrega y los procesos de continuidad del negocio con los proveedores y distribuidores puede ser bastante complejo. Todo comienza con el contrato. Los métodos manuales para acordar los términos, realizar un seguimiento de los cambios en las disposiciones clave y distribuir el contrato para su aprobación casi con toda seguridad darán lugar a que se incumplan los indicadores clave de rendimiento (KPI) y complicarán las negociaciones para la renovación del contrato. Por eso es esencial automatizar el ciclo de vida del contrato, desde su distribución y negociación hasta su conservación y revisión. Una solución de gestión del ciclo de vida de los contratos:
- Centralice el seguimiento de todos los contratos y sus atributos, como el tipo, las fechas clave, el valor, los recordatorios y el estado.
- Ofrecer capacidades de flujo de trabajo (basadas en el tipo de usuario o contrato) para gestionar de manera eficiente el contrato a lo largo de su ciclo de vida.
- Automatice los recordatorios y los avisos de vencimiento para agilizar la revisión de contratos.
- Centralice las negociaciones de contratos, el almacenamiento y el seguimiento de comentarios, con registros de auditoría de todos los accesos.
- Proporcionar un seguimiento del control de versiones para que todas las partes revisen la versión actual del contrato.
- Migrar el contrato completado a una plataforma de evaluación de riesgos para realizar una diligencia debida completa.
Simplificar el proceso de gestión y seguimiento de los contratos con los proveedores, las modificaciones, las fechas y otros atributos clave garantiza que las disposiciones clave en materia de disponibilidad, entrega o continuidad del negocio se gestionen adecuadamente desde el inicio de la relación. A continuación, se pueden extraer los SLA y los KPI del contrato para su revisión y gestión continuas, lo que proporciona un repositorio central para realizar un seguimiento proactivo de las métricas clave. Si un proveedor no puede cumplir sus compromisos debido a dificultades financieras, las disposiciones contractuales acordadas pueden ayudar a mitigar el impacto en su empresa.
2. Perfil y nivel de terceros para comprender la importancia crítica
Saber qué proveedores externos son fundamentales para sus operaciones es un paso importante a la hora de evaluar su exposición al riesgo en caso de que fallen. Si un proveedor presta apoyo directo a la prestación de servicios o la entrega de productos a sus clientes, tenga en cuenta los siguientes criterios de clasificación:
- Ubicación: ¿Existen consideraciones legales o normativas específicas (por ejemplo, medidas adicionales de protección de datos para el RGPD)? ¿Están expuestos a riesgos geopolíticos o se encuentran en una zona propensa a desastres naturales que podrían requerir sitios de conmutación por error?
- Procesos y datos: ¿El tercero interactúa directamente con los procesos orientados al cliente? ¿Interactúa con los datos protegidos de sus clientes?
- Dependencias de terceros: ¿Existen acuerdos de subcontratación o el tercero depende en gran medida de un proveedor tecnológicocuarto concreto (lo que indica un riesgo de concentración)?
- Situación financiera y reputación: ¿El vendedor/proveedor goza de buena salud financiera y tiene buena reputación?
Un proceso eficaz de clasificación y categorización le permite calcular el riesgo inherente, al tiempo que informa sobre el alcance y la frecuencia de las evaluaciones continuas y otras medidas de diligencia debida.
3. Evaluar las prácticas de resiliencia empresarial de terceros en comparación con los marcos de mejores prácticas.
Una vez que se haya incorporado a los proveedores externos y se haya realizado una evaluación de riesgos inherentes para determinar su importancia, se debe evaluar al tercero en función de un marco estándar del sector para la resiliencia empresarial. Las normas NIST, ISO, SIG y otras incluyen disposiciones sobre resiliencia empresarial en sus marcos. Una solución de evaluación de la resiliencia empresarial:
- Ofrecer flexibilidad en las plantillas de evaluación, asignando automáticamente las respuestas al marco para medir las mejores prácticas o el cumplimiento.
- Genere automáticamente un registro de riesgos al completar la encuesta para que pueda ver y priorizar los controles de terceros omitidos o con bajo rendimiento.
- Identificar valores atípicos en las evaluaciones que puedan justificar una investigación más profunda.
- Automatizar acciones basadas en los resultados de la evaluación, por ejemplo, aumentar la puntuación de riesgo o iniciar un proceso de análisis.
- Proporcionar recomendaciones de corrección para ayudar al tercero a mitigar un riesgo o un fallo de control.
- Mapa de relaciones entrela cuarta y la enésima parte, mostrando las dependencias y los flujos de información.
Las evaluaciones de resiliencia empresarial realizadas por terceros deben llevarse a cabo con regularidad, no solo al inicio de una relación, para garantizar que los planes del proveedor estén actualizados.
4. Supervisar continuamente a terceros para detectar perturbaciones financieras y operativas.
Las evaluaciones puntuales son una parte valiosa y necesaria de la gestión de riesgos de terceros, pero pueden ocurrir muchas cosas entre una evaluación y otra. Por eso, además de los datos de ciberseguridad, es importante realizar un seguimiento y análisis continuos de las fuentes públicas y privadas de información comercial y financiera de los proveedores para validar las respuestas de las evaluaciones. Entre las fuentes más comunes se incluyen:
- Ciberdelincuencia: foros criminales ; páginas onion; foros de acceso especial a la web oscura; fuentes de amenazas; sitios de pegado para credenciales filtradas; comunidades de seguridad; repositorios de código; bases de datos de vulnerabilidades; historial de violaciones de datos.
- Noticias empresariales: actividad de fusiones y adquisiciones, novedades empresariales, noticias negativas, información normativa y jurídica, novedades operativas.
- Finanzas: Cambios organizativos y rendimiento financiero, volumen de negocios, pérdidas y ganancias, fondos de los accionistas, liquidez.
- Reputación: Listas de sanciones, perfiles de personas políticamente expuestas
El reto al que se enfrentan muchas organizaciones a la hora de supervisar a sus proveedores es la gran cantidad de fuentes de datos que requieren una curación manual periódica. Una solución consolidada de supervisión de riesgos de terceros recopilará los datos de estas fuentes y los integrará en plataformas de evaluación para validar los resultados. Un enfoque más automatizado le ayudará a ser más proactivo a la hora de detectar posibles interrupciones del negocio o problemas financieros de terceros y a tomar las medidas adecuadas antes de que su empresa se vea afectada.
5. Pon tu casa en orden
Antes de pedir a los proveedores y distribuidores que presenten sus planes de resiliencia empresarial, asegúrese de que su empresa cuenta con uno. Los elementos clave de un plan de resiliencia y continuidad empresarial incluyen:
- Inventario de proveedores y activos: aquí es donde resulta útil un plan de clasificación y perfilado.
- Procedimientos de continuidad del negocio:
Identificar la gravedad de las interrupciones o fallos y documentar los planes para implementar respuestas. - Plan de comunicación para interrupciones:
Recopilación de listas de contactos internos y externos para mantenerlas actualizadas a medida que evoluciona la situación. - Planes de conmutación por error o de respaldo: en qué consisten los planes, cuándo implementarlos y qué constituye una operación normal.
- Plazos: Definición de la recuperación y el retorno a las operaciones.
El plan de continuidad y resiliencia empresarial de su organización debe ser revisado periódicamente por un equipo multidisciplinar para garantizar que esté actualizado y sea relevante para todas las áreas del negocio. Es importante señalar que un plan de resiliencia empresarial es igualmente valioso en caso de desastre natural, pandemia, interrupción del suministro, problemas financieros o durante un incidente de ciberseguridad, como un ataque de ransomware.
Siguiente paso: Descargar el cuestionario gratuito sobre resiliencia operativa y financiera de terceros.
Para ayudarle a usted y a su equipo a iniciar el camino hacia la determinación de las prácticas de resiliencia empresarial de sus proveedores y distribuidores (y para reforzar las suyas propias), hemos desarrollado una evaluación de 10 preguntas para evaluar el riesgo operativo y financiero. El cuestionario está diseñado específicamente para determinar si los terceros han implementado las medidas de resiliencia empresarial necesarias para mantener las operaciones durante las recesiones y otras perturbaciones económicas. La encuesta también puede adaptarse para satisfacer los requisitos y políticas específicos de su organización. Además, ofrecemos plantillas adicionales de recursos de resiliencia empresarial para abordar cuestiones de resiliencia más amplias.
Descargue el cuestionario de resiliencia operativa y financiera de terceros o solicite una demostración
hoy mismo para descubrir cómo Prevalent puede ayudarle.
Nota de la Redacción: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido se ha actualizado desde entonces para incluir información alineada con nuestras ofertas de productos, cambios normativos y cumplimiento.
