Los fans de la historia de Alicia en el País de las Maravillas recordarán cómo le contestó el Gato de Cheshire a Alicia cuando ella le preguntó qué camino debía tomar. Él le dijo: «Si no sabes adónde vas, cualquier camino te llevará allí». Lo que el Gato de Cheshire quería decir era que, si no tienes un objetivo, no tienes un destino en mente; si no hay un propósito, no hay una meta.
Lo mismo puede decirse de la gestión de riesgos de terceros (TPRM). Cuando se trabaja con proveedores, distribuidores y otros terceros, es fundamental definir y acordar desde el principio los objetivos de cada relación y la meta general (es decir, el «destino»). Seguir las mejores prácticas de TPRM durante las fases de diligencia debida y de incorporación puede ayudarle a predecir si un nuevo tercero es capaz de cumplir sus objetivos y, con suerte, evitarle grandes dolores de cabeza en el futuro.
Una vez que se inicia cualquier viaje, es importante comprobar regularmente la orientación para asegurarse de que se está en el camino correcto. Desgraciadamente, muchas relaciones con terceros no logran alcanzar sus objetivos tras la firma del contrato inicial. Para mantener el rumbo, es fundamental supervisar el rendimiento de cada proveedor en relación con los objetivos y los acuerdos de nivel de servicio (SLA) a lo largo de toda la relación.
5 pasos para gestionar de forma continua el rendimiento de los proveedores y los acuerdos de nivel de servicio (SLA)
A continuación se indican algunos pasos prácticos para gestionar el rendimiento de los proveedores y los acuerdos de nivel de servicio (SLA) con el fin de garantizar relaciones productivas, seguras y duraderas con terceros:
1. Definir los objetivos generales y el propósito de cada relación.
Esta es la base. Cada relación con terceros debe tener objetivos y metas claramente definidos y documentados desde el principio.
2. Documentar los niveles de objetivos y acuerdos de nivel de servicio (SLA) de la relación.
Algunas relaciones son simples, con un propósito único y directo, mientras que otras son complejas, con varios niveles de contratos y acuerdos de nivel de servicio (SLA). Por ejemplo, una empresa a la que asesoré tenía 5000 proveedores en un total de 20 000 instalaciones, y cada proveedor tenía entre 1 y 50 instalaciones. En este caso, tanto el rendimiento como el riesgo se medían a nivel de proveedor y de instalación. Por otro lado, un banco global con el que trabajé tenía una relación de externalización con un único proveedor de servicios, pero esa única relación tenía más de 100 contratos y acuerdos de nivel de servicio diferentes asociados.
3. Establecer indicadores clave de rendimiento para cada contrato y acuerdo de nivel de servicio.
El siguiente paso es analizar claramente los contratos y los acuerdos de nivel de servicio (SLA) para establecer y definir indicadores clave de rendimiento (KPI) que permitan medir los resultados positivos y negativos en relación con los contratos y los acuerdos de nivel de servicio.
4. Establecer indicadores clave de riesgo que supervisen y midan el riesgo y la incertidumbre.
El riesgo, tal y como se define en la norma ISO 31000, es el efecto de la incertidumbre sobre los objetivos. Una vez establecidos los KPI, establezca indicadores clave de riesgo (KRI) para supervisar los fallos de control, los eventos adversos y las exposiciones de seguridad que podrían perturbar la capacidad del tercero para cumplir sus objetivos y/o adherirse a los niveles de servicio acordados.
5. Informes y paneles de control
Para aportar valor, la supervisión del rendimiento de los proveedores debe generar información y métricas en tiempo real. Asegúrese de que sus procesos de supervisión del rendimiento estén respaldados por informes y paneles de control que ofrezcan visibilidad de los KPI y KRI en el contexto de contratos específicos y acuerdos de nivel de servicio. Esto le permitirá tomar decisiones mejor informadas y le capacitará para colaborar con los proveedores en la realización de los ajustes necesarios para alcanzar sus objetivos.
Seguir estos pasos ayudará a su organización a ser más ágil y resiliente. La agilidad le permite escalar y aumentar el valor de las relaciones de alto rendimiento, mientras que la resiliencia le permite minimizar las pérdidas o daños en una relación de bajo rendimiento.
Integrar el rendimiento de los proveedores en la gestión de riesgos de terceros
Recomiendo integrar el rendimiento de los proveedores y la gestión de los acuerdos de nivel de servicio (SLA) con evaluaciones de riesgos y cumplimiento normativo realizadas por terceros. Al fin y al cabo, un proveedor que cumple con los contratos y los SLA puede seguir exponiendo a su organización a violaciones de datos o infringir políticas relacionadas con ABAC, ESG, la esclavitud moderna u otros riesgos empresariales.
Nota del editor: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido ha sido actualizado desde entonces para incluir información alineada con nuestra oferta de productos, cambios regulatorios y cumplimiento.
