We don’t really know what all the fuss is about. After all, the process of assessing your third parties isn’t that difficult, is it? Determine vendors to assess. Design questionnaire to assess vendor. Send questionnaire to vendor. Receive questionnaire back from vendor. Ask vendor for more information. And more information. Wait. Wait some more. Get answers back from vendor. Populate spreadsheet. Upload to SharePoint. Tell vendor where they’re short on controls and need remediations. Perform some validation stuff. Report on said controls. Repeat for the next <insert number here> vendors. Then do it all again next year. For all of them. Easy, peasy, lemon squeezy, right?
Mal. Muy, muy mal. De hecho, no podría estar más "equivocado".
Los últimos años han traído cambios significativos a la práctica de la gestión de riesgos de terceros, que de otro modo resultaría desgarradora. El aumento de las normas para facilitar la presentación de informes, la mayor automatización para reducir la carga de evaluar el ecosistema de proveedores y el creciente número de prácticas de servicios profesionales apuntan a un alivio en el horizonte para los sobrecargados equipos de gestión de riesgos.
Así pues, teniendo en cuenta el estado actual de la gestión de riesgos de terceros, he aquí un vistazo al próximo año a ojos de nuestro equipo de expertos: Brad Hibbert, Director de Operaciones y CSO; Alastair Parr, Vicepresidente Senior de Productos y Entrega Globales, y Brenda Ferraro, Vicepresidenta de Gestión de Riesgos de Terceros. VP of Global Products & Delivery, y Brenda Ferraro, VP of Third-Party Risk.
1. La gestión de riesgos de terceros recibe por fin la financiación que necesita
Aunque está claro que el riesgo de proveedores es una disciplina clave que debe adoptarse, los gestores de riesgos siguen luchando por obtener la visibilidad, el apoyo y la inversión necesarios para implantar un programa estratégico en toda la empresa. Como resultado, sigue existiendo una reconocida falta de coherencia y urgencia en la forma en que se gestionan y supervisan los proveedores en toda la empresa. En consecuencia, la gestión del riesgo y la eficacia del programa se ven gravemente limitadas.
Incluso en los casos en los que el riesgo de los proveedores tiene una visibilidad adecuada respaldada por un claro impulsor empresarial o de cumplimiento, las tareas comunes, desde obtener una fuente precisa de perfiles de proveedores e información de contacto internamente, hasta solicitar respuestas de evaluación y demostrar el valor del programa a los ejecutivos, siguen siendo un reto para el éxito del programa. A medida que las organizaciones siguen sintiendo el aguijón de los fallos de los proveedores, vemos que piensan de forma más estratégica sobre sus programas de gestión de proveedores.
2. La función de gestor de proveedores se transforma en inteligencia de riesgos de proveedores, pero las herramientas deben estar a la altura
La información sobre proveedores tiende a estar dispersa y oculta en los silos de diversas herramientas de aprovisionamiento, proveedores, contratos, operaciones, riesgos y seguridad. A medida que las organizaciones siguen dependiendo en mayor medida de productos y servicios suministrados por terceros, vemos que el papel de los gestores de proveedores y de las oficinas de gestión de proveedores se amplía más allá de la perspectiva técnica y de cumplimiento tradicional para incluir un punto de vista más amplio que abarca el riesgo estratégico, financiero, jurídico, de sostenibilidad y operativo. Aunque los Gestores de Proveedores y los Gestores de Riesgos no sean responsables de remediar los riesgos identificados, serán responsables de cotejar, cuantificar, priorizar y comunicar estos riesgos a las partes internas responsables.
Para apoyar este punto de vista más estratégico del riesgo de proveedores, vemos una evolución de los productos de gestión del riesgo de proveedores que maduran para apoyar programas más amplios con avances en los conjuntos de funciones y en una integración más estrecha con los sistemas y departamentos internos. Ya hemos observado una mayor frecuencia de solicitudes de integración de soluciones ITSM y GRC por parte de los clientes. Esperamos que estas solicitudes de integración continúen y se amplíen para incluir otros sistemas empresariales internos y de gestión de riesgos.
3. La gestión de riesgos de terceros evoluciona más allá del cumplimiento (hasta cierto punto)
Vemos que la mentalidad va más allá del temido requisito de cumplimiento que a menudo se pasa por alto, para convertirse en un programa estratégico y habilitador que cuenta con el apoyo y la visibilidad de los niveles ejecutivo y directivo. Aunque esta evolución es emocionante y amplía el valor del programa a los distintos departamentos que dependen de la relación con el proveedor y la apoyan (por ejemplo, jurídico, compras, TI), creemos que el caso de uso principal y la justificación empresarial en 2020 seguirán siendo abordar de forma proactiva los controles de cumplimiento; abordar uno o más hallazgos de auditoría; o responder a un incidente de seguridad o violación de datos.
4. Adiós a las evaluaciones puntuales. Hola, evaluaciones continuas y proactivas.
Uno de los requisitos básicos -y a veces desalentadores- de un programa de gestión de proveedores es el proceso de evaluación del proveedor mediante un cuestionario basado en controles. Normalmente, este proceso de evaluación se inicia con la incorporación de los proveedores y se fija en un intervalo predefinido en función de su criticidad y/o exposición, siendo la mayoría de las veces anual. Sin embargo, en los entornos empresariales dinámicos e interconectados de hoy en día, la información sobre riesgos que tiene 12 meses de antigüedad está más que obsoleta.
Esta información restringida y anticuada sobre los proveedores hace que muchas organizaciones cuestionen la pertinencia del análisis de riesgos de proveedores y su valor en la toma de decisiones relacionadas. Por ejemplo, si un proveedor ha implementado nuevos procesos o tecnología para abordar áreas de control específicas, una organización no debería tener que esperar hasta la próxima reevaluación anual para obtener visibilidad de estas inversiones. Las organizaciones quieren alejarse de las evaluaciones "puntuales" y adoptar una metodología de evaluación más continua. Las organizaciones trabajan en entornos dinámicos en los que los competidores, la seguridad, el cumplimiento y otros factores pueden cambiar rápidamente. Para seguir siendo eficaces, los programas de GTPR deben ser capaces de adaptarse.
5. El auge del análisis predictivo avanzado para identificar valores atípicos
A medida que las organizaciones tratan de ampliar sus programas de proveedores, aumentar la frecuencia de las actualizaciones y ampliar el alcance de la visibilidad de los riesgos, todo ello en un esfuerzo por mejorar el valor del programa, también luchan por analizar, priorizar y responder al creciente volumen de información. ¿En qué proveedores debo centrarme? ¿De qué elementos de riesgo debo preocuparme? ¿Qué medidas correctivas tendrán el mayor impacto global en la mejora de la seguridad y el cumplimiento? Para aumentar la capacidad y eficacia de los programas, las organizaciones deben empezar a adoptar análisis avanzados que proporcionen información adicional y automaticen procesos como la identificación de valores atípicos, la creación de conclusiones automatizadas, la recomendación de medidas correctoras y la activación de automatizaciones y flujos de trabajo.
6. Las herramientas de calificación y puntuación de valores se convierten en una mercancía
Los servicios de calificación de seguridad son una aportación importante para proporcionar visibilidad sobre dónde podrían estar los riesgos explotables de cara al público de una empresa, pero los clientes se han dado cuenta de que el escaneado externo sólo cuenta la mitad de la historia de los riesgos de terceros. El resultado de esta evolución es que todos los proveedores de herramientas de SRS se ven obligados a comparar sus velocidades y fuentes: quién tiene el mejor escaneado de la Web oscura, quién incluye el mayor número de entradas, etc., lo que nos indica que el SRS actual no es el mejor. - lo que nos indica que el mercado actual de SRS seguirá mercantilizándose. Lo que se verá en los próximos 12 meses es menos atención a las fuentes de amenazas (todas se están volviendo bastante buenas) y más atención a la integración de la inteligencia proporcionada en un proceso de gestión de riesgos más amplio que incluya contexto adicional, cuantificación, priorización y capacidades de corrección.
¿Qué opina del próximo año en materia de riesgos de terceros? Nos gustaría conocer su opinión. Y permanezca atento a la segunda parte de la semana que viene de nuestra opinión sobre el próximo año en TPRM.
Mientras tanto, póngase en contacto con nosotros hoy mismo para obtener más información sobre cómo Prevalent puede ayudarle a hacer crecer y madurar su programa de gestión de riesgos de terceros.
Nota de la Redacción: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido se ha actualizado desde entonces para incluir información alineada con nuestras ofertas de productos, cambios normativos y cumplimiento.
