Este artículo ha sido escrito en colaboración con Alastair Parr, vicepresidente sénior de Productos y Servicios.
La gestión de riesgos de terceros (TPRM) ha avanzado mucho en los últimos años, pasando de ser un proceso ad hoc basado en cuestionarios en hojas de cálculo y centrado simplemente en la verificación de los proveedores de TI, a una evaluación y supervisión automatizadas y continuas de diversos proveedores y suministradores gestionados por múltiples equipos.
A medida que nos acercamos al año 2024, varias tendencias clave están dando forma a la manera en que las organizaciones abordan este aspecto cada vez más crucial de sus programas de gestión de riesgos. En esta publicación, profundizaremos en las diez principales predicciones para la gestión de riesgos de terceros en 2024 y cómo evolucionarán las prácticas de TPRM en el futuro.
Predicción 1: El TPRM pasa de ser un experimento a una expectativa
El año 2023 ha sido un año récord en cuanto a incidentes de seguridad relacionados con terceros, con violaciones como la de MOVEit acaparando los titulares. La presión regulatoria resultante para mejorar la gobernanza de los acuerdos de externalización a terceros, como la de la Comisión de Bolsa y Valores (SEC) y varias entidades europeas, está impulsando la evolución del TPRM desde un proyecto que tiene como objetivo gestionar los riesgos hasta un programa que aborda los riesgos a lo largo del ciclo de vida de los terceros.
En otras palabras, el TPRM ya no es un experimento, sino una expectativa. Esta maduración ha consolidado la posición del TPRM como elemento esencial en la toma de decisiones sobre la gestión de riesgos de las organizaciones. Por lo tanto, a pesar de la incertidumbre económica, la inflación y la escasez de mano de obra, la inversión en TPRM se mantendrá constante hasta 2024. La implicación de los consejos de administración y los ejecutivos en el TPRM persistirá debido a los continuos incidentes de seguridad de terceros y a la presión regulatoria.
Aunque seguirá siendo difícil encontrar profesionales cualificados en TPRM, la eficiencia y la eficacia de los programas de TPRM mejorarán gracias a la IA generativa, el aprendizaje automático, el análisis de datos, la automatización mejorada y la externalización de programas.
Predicción 2: La participación de múltiples equipos internos transforma la gestión de riesgos de terceros en la gestión del ciclo de vida de terceros.
No basta con gestionar los riesgos, hay que gestionar el ciclo de vida de la relación con los proveedores para comprender el contexto de los riesgos a los que está expuesta la organización. De lo contrario, la TPRM se convierte en un mero ejercicio de marcar casillas. Esto requerirá que los responsables del programa TPRM amplíen el alcance de sus esfuerzos para incluir a todas las partes que interactúan con los proveedores y suministradores externos.
¿Por qué un enfoque basado en el ciclo de vida? El ciclo de vida de terceros abarca todas las actividades relacionadas con un proveedor desde el inicio hasta el final, incluyendo la incorporación del proveedor, la supervisión continua, el cumplimiento normativo, la gestión de riesgos y la salida, y cada etapa de este ciclo de vida presenta sus propios riesgos específicos. Diferentes personas y departamentos impulsan esta evolución, cada uno con sus propias necesidades e intereses específicos.
En 2024, se espera que las compras desempeñen un papel más destacado en la gestión del ciclo de vida de terceros. Los departamentos jurídicos automatizarán la detección de cláusulas y el análisis comparativo de los términos contractuales con respecto a los niveles de servicio. La gestión de riesgos seguirá siendo un elemento fundamental, mientras que las operaciones utilizarán conjuntos de datos de diversas fuentes para mejorar la resiliencia operativa y garantizar la calidad.
Las auditorías seguirán existiendo, ya que los requisitos normativos y de cumplimiento se vuelven más complejos. La tendencia de la gestión del ciclo de vida por parte de terceros, que involucra a varias áreas de negocio, continuará.
Predicción 3: La convergencia de los silos de datos sobre riesgos de terceros crea una única fuente de información veraz para la empresa.
A medida que más equipos se involucren en la gestión del ciclo de vida de terceros, las organizaciones buscarán unificar una serie de riesgos informáticos y no informáticos en perfiles de proveedores centralizados. Esto eliminará de manera efectiva las islas de datos de riesgo de terceros dispersas por toda la empresa y transformará esos datos en un modelo de riesgo integral que se actualiza constantemente con información interna y externa. Varios equipos aprovecharán entonces esta fuente autorizada para mejorar la toma de decisiones operativas en toda la relación con los proveedores.
En 2024, esperamos ver contenidos de evaluación diversos, que abarquen áreas como la postura cibernética, la inteligencia empresarial, los registros financieros, los acontecimientos geopolíticos, las certificaciones y la información de terceros, con el fin de mejorar la toma de decisiones. Este alcance ampliado refleja los diversos intereses de varios departamentos, en particular los de adquisiciones y jurídico. Se espera que los proveedores proporcionen de forma continua información más completa sobre las certificaciones.
La aparición de conocimientos geopolíticos y medioambientales, basados en la geografía, será un aspecto importante para la resiliencia operativa. Aunque puede resultar complicado realizar un seguimiento de todos los emplazamientos localizados, las soluciones de supervisión desempeñarán un papel crucial a la hora de ayudar a las organizaciones a comprender los riesgos potenciales asociados a las ubicaciones de los proveedores.
Predicción 4: El análisis avanzado y predictivo mejora la calidad de los programas de TPRM.
Basándose en la predicción anterior, el aprovechamiento de un modelo de riesgo unificado que se actualiza continuamente permitirá a las organizaciones realizar análisis más avanzados y predictivos para asignar mejor los recursos y ampliar los programas de manera eficaz.
Además, el análisis predictivo avanzado en TPRM estará más orientado a las personas. Los informes se adaptarán a las necesidades de personas clave, como el CISO, los líderes empresariales y la junta directiva. Estos informes se centrarán en los riesgos, las amenazas externas, el cumplimiento normativo y la cobertura. La maduración de los programas TPRM dará lugar a un aumento de las puntuaciones de madurez, y las herramientas y capacidades disponibles permitirán a las organizaciones interactuar con los proveedores de forma más eficaz.
Un avance notable será la inclusión de información sobre el comportamiento en los informes. Esta información proporcionará datos valiosos sobre las interacciones con los proveedores y los tiempos de respuesta. Los modelos de análisis avanzados ayudarán a predecir e interpretar el comportamiento de los usuarios, mejorando la calidad general de los programas de TPRM.
Predicción 5: El PLN mejora la eficiencia del TPRM
A medida que más organizaciones aceptan formas de diligencia debida que no son de evaluación, como los informes SOC 2, la necesidad de un análisis automatizado de esa documentación impulsará una mayor formación y el uso de modelos específicos de procesamiento del lenguaje natural (NLP).
Por lo tanto, el NLP, una tecnología con varios años de desarrollo, está a punto de transformar el TPRM en 2024. Hasta ahora, se ha utilizado para búsquedas básicas de palabras clave y análisis de sentimientos. Sin embargo, el campo está madurando y el NLP se está convirtiendo en una potente herramienta para extraer, traducir y estructurar datos de los documentos de los proveedores. Los profesionales podrán utilizar estos datos para completar evaluaciones y automatizar acciones, lo que hará que el TPRM sea más eficiente y eficaz.
El PLN desempeñará un papel crucial en la extracción de datos valiosos de varios tipos de documentos, incluidos contratos, informes y políticas. Identificará fallos de control, traducirá documentos en diferentes idiomas e incluso evaluará el sentimiento de las políticas de seguridad de la información, lo que permitirá tomar decisiones más informadas.
Una de las principales ventajas del NLP en TPRM es su capacidad para estructurar documentos no estructurados. Los datos extraídos de estos documentos pueden normalizarse y convertirse en información útil y automatizaciones, lo que los hace más prácticos y útiles.
Predicción 6: Pequeños pasos hacia la adopción de la IA generativa en la gestión del riesgo de crédito (TPRM)
La IA generativa está llamada a convertirse en una parte integral de la TPRM, pero es importante abordar esta tecnología con cautela. A medida que las organizaciones se sientan más cómodas con la IA generativa, la incorporarán a sus programas de TPRM.
A medida que mejore la calidad y la coherencia de la gobernanza de datos en los modelos de IA generativa, las organizaciones superarán sus dudas a la hora de utilizar esta tecnología para casos de uso específicos y controlados. Por ejemplo, la IA generativa ayudará a automatizar procesos, proporcionar avisos sobre tendencias y respaldar la asignación de documentos y la población de evaluaciones. Estas capacidades ayudarán a las organizaciones a superar la escasez continua de mano de obra cualificada y el aumento de los costes.
Predicción 7: La gestión inteligente de las regulaciones reduce la carga de trabajo de TPRM
Las normativas están en constante evolución y, en 2024, cabe esperar que se adopten enfoques más inteligentes y proactivos para gestionarlas. Los profesionales de TPRM exigirán una simplificación en la aplicación de las nuevas normativas y comprobaciones retroactivas automatizadas de los datos existentes para garantizar el cumplimiento.
Para simplificar el cumplimiento de la gestión de riesgos de terceros en 2024, las organizaciones buscarán automatizar la recopilación de datos mediante el uso de una única evaluación específica con mapeos de cumplimiento integrados para los requisitos normativos comunes.
Predicción 8: La integración y la sincronicidad impulsan esfuerzos más amplios de gestión de riesgos
Con la creciente complejidad de los programas de TPRM, la integración y la sincronización entre los diferentes sistemas serán fundamentales. Esto agilizará los flujos de trabajo y garantizará que los datos se compartan de manera eficaz entre las diferentes áreas de la empresa. Se espera que en 2024 aumente la demanda de integraciones entre sistemas adyacentes, como plataformas GRC, sistemas de adquisición y herramientas de generación de informes. Esto se centrará específicamente en identificar registros centralizados de la «verdad» de los proveedores, que se propagarán a lo largo del ciclo de vida y enriquecerán la toma de decisiones entre los equipos (véase la predicción n.º 3).
Predicción 9: La necesidad de obtener información en tiempo real para combatir las amenazas en constante evolución (y satisfacer a la junta directiva) impulsa la supervisión continua por parte de terceros.
La supervisión continua de los riesgos de terceros cobrará protagonismo en 2024, impulsada por la necesidad de obtener información en tiempo real sobre las infracciones y los problemas de los proveedores. La recopilación diaria de datos de diversas fuentes proporcionará una gran cantidad de información, lo que dará lugar a un análisis más avanzado de los datos de TPRM y a una toma de decisiones mejor y de mayor calidad. La demanda por parte de los consejos de administración y los ejecutivos de respuestas más proactivas a los eventos localizados y las vulnerabilidades de día cero impulsará en gran medida estos esfuerzos.
Predicción 10: La creación de perfiles avanzados y la clasificación por niveles impulsan una gestión pragmática de los proveedores
Los días en los que se evaluaba a todos y cada uno de los proveedores de un ecosistema masivo han llegado a su fin. La gestión de riesgos de terceros (TPRM) se volverá más pragmática y se centrará en los proveedores críticos y los riesgos de concentración clave. Las evaluaciones de terceros serán específicas y eficientes, y se centrarán en las políticas de privacidad y la gestión de riesgos. Esta tendencia viene impulsada por el reconocimiento de que no todos los terceros —y no todos los riesgos de terceros— son iguales. Y los equipos están demasiado limitados para gestionar todo por igual. Cabe esperar un mayor perfilado y clasificación de los proveedores para impulsar una gestión más pragmática de los mismos.
¡BONIFICACIÓN! Predicción 11: El contexto (por fin) importa
Es fundamental comprender el contexto de las relaciones con los proveedores. La recopilación de datos durante el ciclo de adquisición será fundamental para proporcionar contexto al TPRM. Esto dará lugar a una toma de decisiones más informada, a un dimensionamiento adecuado de la población de proveedores y a paneles de control e informes basados en perfiles. También requerirá que los equipos colaboren en la revisión y el análisis de riesgos. En 2024, la automatización dentro del ciclo de vida de terceros respaldará la recopilación y estructuración de perfiles de proveedores, ya que se establecerán flujos de trabajo definitivos basados en el contexto que esto proporciona.
Próximos pasos
De cara al 2024, la gestión de riesgos de terceros experimentará una importante evolución. La integración del procesamiento del lenguaje natural (NLP) y la inteligencia artificial generativa, junto con una gestión más inteligente de la normativa, capacidades continuas y un enfoque en el contexto, mejorarán la eficacia y la eficiencia de los programas de TPRM. Al adoptar estas innovaciones y tendencias, las organizaciones pueden mantenerse a la vanguardia en la gestión eficaz de los riesgos de terceros y adaptarse al panorama cambiante de las asociaciones comerciales y los requisitos normativos.
Para obtener más información sobre cómo Prevalent puede ayudarle a madurar su programa TPRM, solicite una demostración hoy mismo.
Nota de la Redacción: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido se ha actualizado desde entonces para incluir información alineada con nuestras ofertas de productos, cambios normativos y cumplimiento.
