Nota del editor: La siguiente entrevista con Brad Hibbert, de Prevalent, se publicó originalmente en www.credittoday.net y se reproduce aquí con permiso.
Cada vez más, los gestores de crédito cuentan a Credit Today que se les pide que proporcionen evaluaciones de riesgo de los proveedores. Esto no debería sorprender, teniendo en cuenta la tensión que afecta a las cadenas de suministro tanto globales como locales, junto con la llegada de la sostenibilidad como tema de gestión.
Además, la aparición de la gestión de riesgos empresariales (ERM) está dando lugar a nuevas disciplinas y tecnologías profesionales. La seguridad de los datos es una cuestión fundamental para los proveedores de servicios y de TI, pero otro aspecto importante es la cadena de suministro de una empresa, y ahí es donde se necesitan las habilidades de los analistas de crédito para evaluar los riesgos financieros y operativos de los proveedores y prestadores de servicios actuales y potenciales.
Para comprender mejor la gestión de riesgos de terceros (TPRM) y el papel que pueden desempeñar los ejecutivos de crédito, hablamos con Brad Hibbert, director de operaciones y director de seguridad de Prevalent, un proveedor de soluciones de software para TPRM.
¿Qué deben saber los gestores de crédito sobre el proceso TPRM?
La gestión de riesgos de terceros (TPRM) es el proceso de analizar y minimizar los riesgos asociados con la subcontratación a proveedores o prestadores de servicios externos. Existen muchos tipos de riesgos dentro de la categoría de riesgos de terceros. Estos pueden incluir riesgos de seguridad, financieros, medioambientales y de reputación. Cabe destacar que la estabilidad financiera y el riesgo de insolvencia son componentes importantes del ciclo de vida de la gestión de riesgos de terceros. Si bien los análisis y las consideraciones de la información financiera en la TPRM y el análisis crediticio son comparables, el enfoque de la TPRM es de naturaleza más operativa, ya que puede afectar a los servicios que generan ingresos.
¿Cómo se gestiona el TPRM en la mayoría de las empresas?
Han surgido tres categorías de mercado distintas en lo que respecta a los riesgos de terceros: TPRM, gestión de riesgos de la cadena de suministro (SCRM) y gestión de riesgos de cumplimiento. Estos procesos analizan diferentes aspectos del riesgo de terceros específicos de las funciones laborales, por ejemplo, la seguridad, las adquisiciones y la auditoría. A menudo, estos equipos actúan de forma independiente utilizando soluciones y procesos aislados. Históricamente, estos procesos se realizaban anualmente, pero la tendencia actual es evaluar continuamente los riesgos de terceros mediante una combinación de evaluaciones basadas en cuestionarios y un seguimiento continuo de los datos de fuentes públicas.
¿Qué áreas de la organización participan en el TPRM?
Históricamente, los procesos relacionados con la evaluación de este riesgo han estado desconectados. El departamento de TI/Seguridad se centra en los riesgos relacionados con la seguridad para los proveedores de TI. El departamento de compras y/o gestión de proveedores se centra en los riesgos no relacionados con la TI, incluidos los riesgos financieros, de rendimiento, de entrega, geopolíticos y, ahora, ESG (medioambientales, sociales y de gobernanza). Las funciones jurídicas y de cumplimiento normativo se ocupan de las sanciones, las personas políticamente expuestas (PEP) y la propiedad estatal; además, estos equipos también pueden recurrir a los equipos de seguridad/TI para que realicen una diligencia basada en controles en torno a los controles que protegen los datos y el acceso a los mismos, así como su relación con diversos mandatos normativos, como el Reglamento General de Protección de Datos (RGPD) de la Unión Europea, el Departamento de Servicios Financieros del Estado de Nueva York (NYDFS) 23 NY CRR 500, etc.
¿Cuál es la mejor manera en que los gestores de crédito pueden ayudar al equipo de TPRM? ¿Existen áreas más allá del riesgo organizativo o financiero en las que los gestores de crédito puedan ser de ayuda?
Si los gestores de crédito derivan riesgos y métricas de riesgo utilizando análisis estándar o propios, estos riesgos y conocimientos podrían incorporarse al programa TPRM. Estos conocimientos no solo pueden tenerse en cuenta en el contexto de otros riesgos no financieros, sino que también pueden utilizarse para activar y aplicar flujos de trabajo de riesgo coherentes en todos los departamentos internos a lo largo de la relación con el proveedor.
¿Cuáles son las mejores formas en que los gestores de crédito pueden comunicar los factores de riesgo al equipo de TPRM?
Si los gestores de crédito utilizan un proceso y un producto distintos al programa TPRM más amplio, los riesgos y las puntuaciones de riesgo podrían integrarse. Esto permitiría correlacionar estos datos con otras dimensiones del riesgo, podría utilizarse para activar flujos de trabajo de riesgo más estandarizados entre equipos y aprovechar el programa TPRM para realizar un seguimiento de la mitigación de estos riesgos mediante la interacción con la propia empresa y terceros a través de un proceso de flujo de trabajo estandarizado.
Por favor, amplíe un poco más la información sobre las fuentes de los datos que los equipos de TPRM están recopilando sobre los proveedores y otros vendedores.
Pueden ocurrir muchas cosas entre las evaluaciones de riesgos periódicas basadas en cuestionarios. Para complementar las evaluaciones puntuales, las organizaciones también realizan un seguimiento para obtener información continua sobre los riesgos de terceros. Algunos ejemplos de fuentes de información de seguimiento continuo son:
- ESG: puntuación medioambiental, social y de gobernanza para empresas cotizadas, que ofrece información detallada, elaborada por analistas, sobre la postura y los procesos adoptados por la organización, con revisiones anuales por pares y la base de datos de infracciones ecológicas de la EPA.
- Ciberespacio: foros criminales; páginas onion; foros de acceso especial a la web oscura; fuentes de amenazas; sitios de pegado para credenciales filtradas, así como comunidades de seguridad, repositorios de código y bases de datos de vulnerabilidades.
- Negocios: reseñas de sitios web públicos, blogs de empresas, artículos de noticias y más. Esto permite identificar cualquier evento potencial de interés que se esté debatiendo en la comunidad en general, como declaraciones financieras, fusiones, cambios operativos e investigaciones.
- Financiero: Agencias de crédito y flujos de trabajo de investigación para detectar cualquier discrepancia financiera o sociedades ficticias que puedan afectar a la estabilidad financiera.
- Reputación: Sanciones localizadas y listas de cumplimiento en todo el mundo, incluida la identificación de personas o empresas políticamente expuestas con las que actualmente están prohibidas las transacciones.
- Hackeo y violación de datos: violaciones de datos o hackeos conocidos en los últimos 10 años, incluidas las credenciales filtradas en sitios públicos que requieren consideración.
Para los gestores de crédito, este nivel de supervisión no elimina en absoluto la necesidad del análisis financiero tradicional, pero proporciona información temprana sobre actividades que tienen un impacto significativo en la situación financiera y crediticia de un tercero. Si una empresa tiene un historial de violaciones de datos, está siendo objeto de una violación activa, sufre una interrupción masiva del servicio o está involucrada en un litigio, ¿le gustaría estar al tanto de ello? Toda esta información puede recopilarse, resumirse, priorizarse y entregarse de forma proactiva a los gestores de crédito adecuados, lo que permite tomar decisiones más rápidas y adoptar medidas correctivas más oportunas, que podrían incluir ajustes en las líneas de crédito, las condiciones de crédito y/o los seguros de crédito.
¿Cómo pueden ayudar los datos cibernéticos y los datos sobre opiniones a los gestores de crédito?
La armonización del programa TPRM permite a una empresa desarrollar un perfil de riesgo de terceros completo. Los equipos pueden aprovechar esta información para tomar mejores decisiones basadas en el riesgo en el desempeño de sus funciones. Además de la preselección estándar y los datos financieros, el TPRM puede proporcionar información adicional.
Desde una perspectiva cibernética, un programa sólido de TPRM puede proporcionar información sobre el historial de violaciones de datos y la higiene de seguridad actual asociada con un tercero. También puede ayudar a responder a la pregunta de qué tan bien se protege el tercero. Piense en esto como un indicador de un posible compromiso. ¿Cuántas divulgaciones públicas de violaciones han tenido en los últimos 10-15 años, cuántos datos se vieron comprometidos y qué tipo de datos se vieron comprometidos? Un historial de violaciones deficiente podría afectar a la capacidad de una organización para prestar servicios, pagar sus facturas o, de hecho, afectar a su capacidad para sobrevivir. Una vez incorporada, una solución TPRM puede supervisar automáticamente a sus terceros en busca de violaciones de datos continuas para garantizar que dispone de estrategias proactivas de corrección y mitigación de riesgos. Esta información también podría ser aprovechada por las aseguradoras de crédito para ir más allá de las métricas financieras estándar.
Desde el punto de vista de la reputación empresarial, la supervisión también puede proporcionar información continua sobre acontecimientos empresariales que podrían afectar a la capacidad de un tercero para prestar sus servicios o perturbarlos, como despidos, interrupciones del servicio, conflictos laborales o repercusiones en la reputación y la marca, como infracciones de la EPA, demandas judiciales, etc. Todos estos acontecimientos no solo pueden afectar a la capacidad de una organización para prestar servicios, sino también a la forma en que pagan sus facturas. Esto se extiende a la visibilidad de los estados financieros, los despidos clave y las fusiones/adquisiciones, que pueden afectar a la situación financiera futura de un tercero.
¿Están cobrando importancia la EPA, el ESG y otros factores de riesgo medioambiental?
Cada año realizamos una encuesta sobre gestión de riesgos tecnológicos (TPRM) y cada año los riesgos no tecnológicos cobran mayor importancia. Dentro de este grupo, seguimos observando un aumento del interés por la visibilidad de los riesgos no tecnológicos y la corrección de los mismos, incluyendo áreas como la reputación empresarial y los criterios ESG.
El abastecimiento ético como tema está cobrando cada vez más importancia, hasta el punto de que los fondos impulsados por criterios ESG están ganando popularidad entre los inversores. Esto se debe en parte a la afluencia de datos que comparten las organizaciones para demostrar su alineación con los principios rectores ESG, lo que permite realizar análisis en el proceso de abastecimiento.
¿Qué tipo de supervisión continua se lleva a cabo y puede la gestión crediticia beneficiar o contribuir a ello?
En mi opinión, las ventajas para la gestión del crédito incluyen una combinación de información proporcionada sobre la actividad empresarial y una mayor visibilidad de los registros financieros, lo que proporciona una visión general del estado de la organización. La supervisión continua también puede extenderse a los eventos notificados por la propia organización, que de otro modo pasarían desapercibidos.
Cuando se revisa el patrimonio de terceros en su conjunto, se obtiene una base de datos adicional de tendencias y variables financieras que puede ayudar a informar los modelos y, a su vez, respaldar las consideraciones diarias de los gestores de crédito. El reto consiste en acceder a este conjunto de datos de seguimiento continuo y elaborar conclusiones significativas. Para ello es necesaria la colaboración y el intercambio de conocimientos.
Los gestores de crédito también pueden contribuir y apoyar a los centros de toma de decisiones sobre riesgos de terceros cuando no están involucrados. La amplia experiencia y el conocimiento de los registros financieros pueden aprovecharse para capacitar y formar a quienes revisan los informes de terceros, así como para proporcionar orientación sobre los posibles riesgos y dificultades.
Nota de la Redacción: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido se ha actualizado desde entonces para incluir información alineada con nuestras ofertas de productos, cambios normativos y cumplimiento.
