La gestión del riesgo de proveedores externos es un ámbito en rápida evolución. Desde el inicio de la pandemia del virus COVID-19, las empresas se han visto obligadas a luchar para gestionar el riesgo de terceros, defenderse de la creciente oleada de ataques de ransomware y hacer frente a las persistentes interrupciones de la cadena de suministro. Mediante la creación de un flujo de trabajo eficaz de gestión de riesgos de proveedores, puede reducir drásticamente el tiempo que se tarda en incorporar nuevos proveedores y, al mismo tiempo, reducir el riesgo organizativo. Este artículo proporcionará información práctica sobre cómo su organización puede diseñar un flujo de trabajo eficaz de gestión de riesgos de proveedores que se integre con otros procesos empresariales críticos de su organización.
¿Por qué son importantes los flujos de trabajo de gestión de riesgos de proveedores?
Los riesgos de terceros han aumentado drásticamente en los últimos años, y las recientes crisis sanitarias, medioambientales y geopolíticas han agravado los riesgos de seguridad de proveedores y vendedores. Por tanto, incluir una comparación de riesgos en su proceso de selección de proveedores le evitará muchos quebraderos de cabeza en el futuro.
La creación de un flujo de trabajo eficaz de gestión de riesgos de terceros permite a su organización evaluar rápidamente a los proveedores en función de criterios de riesgo predefinidos y tomar medidas para reducir el riesgo a un nivel aceptable. A medida que su organización incorpora nuevos proveedores y evalúa su población de proveedores existente, un flujo de trabajo de gestión de riesgos de terceros puede permitirle sopesar y reducir el riesgo a lo largo del ciclo de vida del proveedor.
Tipos comunes de riesgo para proveedores
Riesgo financiero
Los proveedores con una situación financiera inestable pueden perturbar gravemente su cadena de suministro. Tómese su tiempo para evaluar la situación financiera de los proveedores mediante cuestionarios, registros públicos y otras fuentes, a fin de determinar si existe riesgo de que la empresa se declare insolvente o incumpla sus obligaciones contractuales.
Riesgos para la seguridad de la información
Hoy en día, las empresas comparten más datos que nunca. Al mismo tiempo, la normativa sobre privacidad de datos y seguridad de la información se ha ampliado drásticamente en los últimos años. La seguridad de la información es uno de los factores más críticos para evaluar a los posibles proveedores. Si un proveedor tiene un mal historial de ciberseguridad o no puede demostrar satisfactoriamente los controles de seguridad, es posible que desee considerar la búsqueda de otros proveedores.
Riesgo ESG
ESG son las siglas en inglés de riesgo medioambiental, social y de gobernanza. Las prácticas empresariales se enfrentan a un escrutinio cada vez mayor por parte de clientes, accionistas y reguladores, por lo que no tener en cuenta las cuestiones relacionadas con el medio ambiente, la diversidad, la justicia social y los derechos humanos puede acarrear daños financieros y de reputación. Los inversores y los clientes buscan cada vez más trabajar exclusivamente con organizaciones con sólidas políticas ASG, ya que cualquier problema en la cadena de suministro puede tener graves ramificaciones posteriores.
Riesgo de cumplimiento
El riesgo de cumplimiento de terceros abarca múltiples categorías, incluidas la seguridad de la información, la privacidad y ESG. Por ejemplo, las normativas de seguridad y privacidad como GDPR, CCPA y CMMC contienen disposiciones estrictas relacionadas con el intercambio de datos de terceros. La legislación relacionada con ESG incluye la Ley de Esclavitud Moderna aprobada en 2015 por el Reino Unido, que estipula que las organizaciones están obligadas a examinar sus cadenas de suministro en busca de trabajo forzado, así como la Ley de Prácticas Corruptas en el Extranjero de Estados Unidos, la Ley de Soborno del Reino Unido de 2010 y la próxima Ley de Diligencia Debida Corporativa de la Unión Europea.
Pasos del flujo de trabajo de gestión de riesgos de terceros
Muchas organizaciones pasan por alto el hecho de que la gestión de riesgos de terceros puede ayudar a una organización a elegir con qué proveedores trabaja. El riesgo de los proveedores debe evaluarse en función de criterios uniformes antes de firmar el contrato. Llevar a cabo una evaluación básica del riesgo de los proveedores antes de incorporarlos puede ayudarle a descartar a aquellos que planteen riesgos financieros, operativos o de seguridad de la información para su organización antes de invertir tiempo en incorporarlos como nuevos proveedores.
Uno de los aspectos más críticos de su flujo de trabajo de gestión de riesgos de proveedores debe ser la comunicación a lo largo de todo el proceso. Muchos procesos fracasan debido a la falta de comunicación, ya sea por parte del proveedor o del contratista. Mantener un diálogo sólido, honesto y claro entre las empresas puede facilitar enormemente la incorporación de un nuevo proveedor y crear una relación basada en la confianza mutua desde el principio.
1. Incorporación
La primera parte de cualquier flujo de trabajo de gestión de riesgos de proveedores consiste en la incorporación de nuevos proveedores. La incorporación puede adoptar muchas formas, pero incluye aspectos básicos como la finalización del lenguaje contractual, la planificación financiera y otras tareas críticas.
Uno de los principales objetivos de la incorporación es centralizar los datos de los proveedores de forma que las partes interesadas internas puedan acceder a ellos con rapidez y eficacia. Esto comienza con la carga de nuevos datos de proveedores en su solución de gestión de riesgos de proveedores. Debería poder importar datos de las soluciones de gestión de proveedores o de aprovisionamiento existentes a través de hojas de cálculo, conexiones API u otras integraciones. Además, asegúrese de que su solución VRM permita a equipos o empleados específicos rellenar los perfiles de proveedores mediante el acceso basado en funciones (RBAC).
2. Cuestionario de evaluación de riesgos
Un cuestionario de evaluación del riesgo de los proveedores puede ayudarle a calibrar el riesgo que plantea un proveedor, tanto antes de su incorporación como posteriormente de forma periódica. Los cuestionarios de riesgo de proveedores pueden adoptar diversas formas, pero la mayoría tienen por objeto evaluar los controles de seguridad de la información, la estabilidad corporativa y las prácticas de cumplimiento de los proveedores....
Los riesgos conocidos son los que pueden identificarse mediante cuestionarios, controles de seguridad existentes y el entorno operativo. Los riesgos desconocidos comprometen factores externos difíciles de evaluar con precisión, como piratas informáticos, acontecimientos geopolíticos y otros factores que quedarían fuera del alcance de una evaluación tradicional. Para saber más sobre el riesgo inherente y residual, consulte nuestro blog sobre riesgo inherente frente a riesgo residual.
El riesgo conocido suele desglosarse en tres categorías:
-
Riesgo perfilado: El riesgo perfilado está relacionado con los servicios que el proveedor presta a su organización. Lo más probable es que una empresa externa de nóminas suponga un riesgo mucho mayor para su organización que una agencia de publicidad digital, ya que tiene acceso a información mucho más sensible.
-
Riesgo inherente: El riesgo inherente es un riesgo existente que el proveedor plantea antes de que se lleve a cabo cualquier esfuerzo de corrección. Ejemplos de riesgo inherente son una mala situación financiera, malas prácticas de seguridad de la información o ineficiencias operativas.
-
Riesgo residual: El riesgo residual implica el riesgo que queda después de que un proveedor haya tomado las medidas correctoras adecuadas. Corresponde a su equipo de gestión de riesgos determinar si el riesgo residual es aceptable o inaceptable.
En muchos casos, las organizaciones estratifican a los proveedores en función de su perfil de riesgo. Esto les permite elegir los cuestionarios de evaluación de riesgos de proveedores que mejor reflejen los riesgos que plantean los proveedores de servicios individuales en función de sus servicios. Una empresa de procesamiento de nóminas necesita un cuestionario diferente y más riguroso que un consultor de gestión.
Una vez que se tiene un conocimiento sólido del perfil de riesgo de un proveedor, el siguiente paso es medir el riesgo inherente. Esto suele hacerse mediante una combinación de cuestionarios detallados de evaluación del riesgo del proveedor y la recopilación de información sobre riesgos externos de diversas fuentes públicas y privadas.
3. Revisión de la evaluación y análisis de riesgos
El siguiente paso en el proceso de gestión de riesgos de proveedores es revisar los resultados de los cuestionarios y la información recopilada. El software automatizado de gestión de riesgos de terceros (TPRM, por sus siglas en inglés ) puede simplificar enormemente el proceso marcando las respuestas preocupantes y asignando automáticamente los requisitos de cumplimiento. Si actualmente no está utilizando software TPRM, tendrá que revisar manualmente los resultados del cuestionario y la OSINT de referencia (inteligencia de código abierto) para evaluar el nivel de riesgo del proveedor para su organización.
4. Control continuo
Incluso después del cuestionario inicial de incorporación y la recopilación de información, tendrá que realizar un seguimiento continuo durante todo el ciclo de vida del proveedor. Las nuevas vulnerabilidades de seguridad, los cambios en el equipo directivo, las demandas judiciales y decenas de otros factores pueden influir en el perfil de riesgo de una organización a lo largo del ciclo de vida del proveedor. Por lo tanto, las mejores prácticas consisten en supervisar periódicamente las fuentes externas de información sobre proveedores:
- Riesgos cibernéticos , como noticias sobre filtraciones de datos, credenciales expuestas y otras pruebas de incidentes de seguridad de la información.
- Riesgo operativo derivado de cambios de liderazgo o fusiones y adquisiciones. Las asociaciones y las relaciones con los fabricantes de equipos originales pueden alertar con antelación de cambios en los precios o en la estrategia comercial, y las catástrofes naturales o las crisis sanitarias pueden afectar significativamente a las operaciones.
- Riesgo de marca , que se produce cuando un proveedor se ve obligado a retirar productos, sufre una filtración de datos o comete un error en materia de ASG que da lugar a unas relaciones públicas negativas. Estos sucesos también pueden dar lugar a sanciones económicas y medidas correctivas que pueden afectar negativamente a las operaciones comerciales y a la capacidad del proveedor para suministrar productos y servicios.
- Riesgos normativos y jurídicos derivados de acuerdos comerciales, sanciones internacionales, demandas colectivas e infracciones de las normas reguladoras pueden causar retrasos sustanciales en la entrega de productos y servicios.
- El riesgo financiero derivado de procedimientos de quiebra, pérdidas de clientes, lucro cesante y cualquiera de las áreas comentadas anteriormente puede llevar a la reestructuración y a la interrupción de ofertas de proveedores específicos.
5. Remediación
En algunos casos, un cuestionario de evaluación de riesgos de proveedores o la inteligencia de supervisión pueden revelar que un proveedor plantea demasiados riesgos para su organización. En ese caso, podrá elegir entre cancelar el contrato o exigir a los proveedores que corrijan el riesgo antes de empezar a trabajar. Por ejemplo, si un proveedor informa de malas prácticas de seguridad de la información, puede exigirle que obtenga un estándar de ciberseguridad de terceros, como SOC 2, antes de trabajar con él. El objetivo es reducir el riesgo a un nivel residual aceptable.
6. Validación de la reparación
No basta con que un proveedor afirme que ha solucionado adecuadamente todos los problemas de su organización. Asegúrese de verificar que se han producido cambios reales en sus procesos empresariales y de seguridad de la información. Muchas organizaciones tendrán un fuerte incentivo para informar de correcciones que no se han producido con el fin de ganar el contrato sin dedicar tiempo y esfuerzo a solucionar los problemas. Pedir pruebas de los cambios debería ser una práctica habitual al contratar a proveedores que requieran medidas correctoras.
7. Offboarding
La última parte del ciclo de vida de la gestión de riesgos de proveedores consiste en dar de baja a los proveedores. Su organización debe tener una lista predefinida de actividades a realizar para asegurarse de que los proveedores ya no tienen datos confidenciales ni acceso a sistemas informáticos críticos. Los acuerdos de nivel de servicio deben aclarar exactamente qué datos se comparten, cuánto tiempo se conservan y qué ocurre con ellos al finalizar el contrato. Las partes interesadas internas deben revisar cuidadosamente la relación, documentar las lecciones aprendidas y asegurarse de que todo acceso de terceros ha sido debidamente revocado.
Medir el riesgo a lo largo del ciclo de vida del proveedor
Parte de la supervisión continua consiste en poder medir con precisión el riesgo que supone su contratista a lo largo del ciclo de vida de la relación. Ser capaz de medir numéricamente el riesgo de un proveedor mensualmente, o incluso semanalmente, es fundamental para garantizar que no se han producido cambios importantes que podrían poner a su organización en riesgo sustancial.
Empiece hoy mismo a crear un flujo de trabajo eficaz para la gestión de riesgos de proveedores
Los flujos de trabajo de gestión de riesgos de proveedores aceleran el proceso de selección e incorporación de proveedores, al tiempo que reducen el riesgo a lo largo del ciclo de vida de terceros. La plataforma de gestión de riesgos de terceros de Prevalent puede simplificar drásticamente el proceso de creación y automatización de flujos de trabajo para identificar riesgos de proveedores, facilitar los esfuerzos de corrección y agilizar la generación de informes. Solicite una demostración para saber cómo Prevalent puede automatizar y acelerar su programa TPRM.
Nota de la Redacción: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido se ha actualizado desde entonces para incluir información alineada con nuestras ofertas de productos, cambios normativos y cumplimiento.
