4 mejores prácticas para la evaluación comparativa y la auditoría de su programa de gestión de riesgos de terceros

Amanda: Muchas gracias, Amanda. Alistair: Por supuesto. Alistair: Para empezar, Joe, ¿quién eres? ¿Por qué estás aquí? ¿Y por qué estás hablando con nosotros? Joe: Gracias, Alistair. Soy el director de programas de Prev. He dedicado mucho tiempo a trabajar con clientes para desarrollar sus programas. He dedicado mucho tiempo a investigar cómo podemos evaluar la madurez de los programas de terceros, por lo que espero poder aportar hoy una contribución bastante buena al debatir algunos de estos factores clave que conforman un programa maduro. Alistair: Estupendo. Gracias, Joe. Y hola a todos. Soy Alistair Pal, vicepresidente sénior de productos y entrega aquí en Prevalent. Tengo décadas de experiencia en la auditoría de programas de terceros en relación con ámbitos de riesgo clave y controles de riesgo, y he supervisado bastante los programas de terceros, concretamente en materia de gobernanza. Así que intentaré aportar lo que sé y, sin duda, obtendremos de Joe y Scott alguna información que también podría ser útil durante la sesión. Scott, te cedo la palabra.

Scott: No vas a sacar mucha información. Al menos desde mi punto de vista actual. Por desgracia, Alistair, solo soy el responsable de marketing en esta llamada. Soy vicepresidente de marketing de productos aquí en Prevalent. Mi trabajo consiste en sintetizar las mejores prácticas que aprendemos de los clientes y que generamos a partir de nuestra propia experiencia, y ayudar a aplicarlas de manera generalizada a múltiples clientes mediante la publicación de contenido y, luego, mediante la orientación regular sobre las mejores prácticas. Básicamente, reviso ortográficamente todo lo que crean Alistair y Joe, y voilà, esa es mi contribución. Estoy muy contento de estar aquí.

Alistair: Scott es sin duda el más humilde de los cuatro, como probablemente habrás podido comprobar. ¿Qué vamos a tratar hoy? Un poco de información. Nos centraremos en algunos de los componentes básicos que ayudan a respaldar buenos programas de auditoría relacionados específicamente con el riesgo de terceros. Y hay un par de preguntas que vamos a abordar como parte de ello. Hay un tema central que verán hoy, que es la evaluación de la madurez. La razón por la que utilizamos las evaluaciones de seguridad como mecanismo de auditoría es que son repetibles, coherentes y proporcionan un punto de referencia adecuado. Pero a medida que avancemos en nuestro recorrido y nuestras conversaciones de hoy, abordaremos algunas preguntas comunes que solemos ver. Comprenderemos cómo podemos validar realmente que un programa, un programa TPRM, un programa de gestión de riesgos de terceros, funciona de manera eficaz y correcta. Analizaremos los puntos de referencia clave asociados a un programa TPRM. Comprenderemos cómo podemos determinar realmente dónde se sitúa cada programa individual en el modelo de madurez predominante, que es el resultado de la evaluación de la madurez. Analizaremos algunos de los umbrales comunes para los puntos de referencia críticos que conforman esa evaluación de madurez y proporcionaremos información general sobre cómo avanzar realmente hacia el siguiente punto de referencia. Más adelante tendremos una sesión de preguntas y respuestas, como bien ha mencionado Amanda. Así que, si tienen alguna pregunta, no duden en plantearla en la sesión de preguntas y respuestas. Intentaremos responderlas a medida que avancemos en la sesión o las guardaremos para el final. Resumen de la evaluación de madurez Joe, ¿qué es realmente una evaluación de madurez de un programa de terceros?

Joe: Claro. Es un buen punto de partida. En realidad, es una forma de comprender en qué punto te encuentras actualmente con tu programa de terceros. Vemos que muchas organizaciones se apresuran a crear y desarrollar un programa con la esperanza de que tenga éxito. Lo que nos permite hacer una evaluación de madurez es dar un paso atrás y comprender exactamente si hemos tenido en cuenta todos los componentes fundamentales que conforman un buen programa. ¿Hay cosas que se nos hayan pasado por alto al crear las capas que sustentan un programa? Y aplicar un mecanismo de puntuación nos permite comprender dónde nos encontramos y dónde podríamos llegar. Alistair: Joe, pasando a otro tema, ¿por qué debería importarme? Joe: Sí, buena pregunta. Una vez que hemos creado nuestra puntuación para una evaluación de madurez, comprendemos dónde nos encontramos. Entonces, podemos empezar a pensar en la planificación. Si obtenemos una puntuación de dos, por ejemplo, en esa escala de madurez, podemos analizar por qué hemos obtenido esa puntuación. ¿Dónde han estado nuestros éxitos, dónde han estado nuestras debilidades? Entonces podemos empezar a aplicar cierta responsabilidad interna para, de hecho, progresar al siguiente nivel. Y cómo eso podría afectar a nuestro programa. Y cuando analizamos un programa en general, no debemos limitarnos a pensar en cómo podemos evaluar a más proveedores y cómo podemos reducir el riesgo. Debemos centrarnos en hacer que este proceso sea lo más eficiente posible. Y esa suele ser una de las áreas comunes en las que vemos errores cuando las organizaciones elaboran su programa. Se trata de crear algo que sea escalable. Con suerte, solo vas a incorporar más y más proveedores. Teniendo esto en cuenta, tenemos que ver dónde podemos mejorar la eficiencia lo antes posible, para poder ver los beneficios a medida que empezamos a expandir y hacer crecer el programa con el tiempo.

Joe: Y también mencionaré aquí que, bueno, descubrimos que cuando elaboramos este tipo de cuestionarios y tratamos de comprender la madurez, había un tema común en el que las organizaciones siempre buscaban obtener la mejor puntuación posible en algunas de estas evaluaciones, cuando en realidad deberían estar trabajando de la manera contraria. Siempre hay que intentar inclinarse por la inmadurez en lugar de por la madurez a la hora de rellenar este tipo de evaluaciones, de modo que, si hay algún tipo de zona gris en la que se detectan debilidades concretas, se mantengan en el punto de mira para desarrollarlas y mejorarlas con el tiempo. Otro punto que hay que mencionar aquí es que, si vas a realizar un ejercicio como este de forma sistemática, tal vez trimestre tras trimestre, con suerte, o año tras año como mínimo, deberíamos intentar que se trate de una comparación entre iguales. ¿Cómo estábamos el año pasado? ¿Cómo realizamos la evaluación? ¿Fuimos sinceros con nuestras respuestas? ¿Respondimos de una manera binaria concreta que hace que esto sea comparable con algo que vamos a completar más adelante? Estos son algunos de los factores clave que yo tendría en cuenta a la hora de empezar a rellenar una evaluación o, ya sabes, embarcarse en este viaje de completar evaluaciones. Alistair: Gracias, Joe. Es una información muy interesante. Una pregunta que me suelen hacer es que eso está muy bien. Así que hay un modelo de referencia entre uno y cinco basado en el modelo de madurez de capacidades de Carnegie Carnegie.

Alistair: Pero, ¿qué es lo que se considera normalmente como promedio? Has mencionado que la gente debería trabajar desde una perspectiva de inmadurez inicial, esperando un cierto grado de inmadurez en su programa y en los pilares. Alistair: ¿Cómo sería un buen programa para el primer año? Joe: Sí, diría que la puntuación más habitual que vemos en nuestro modelo concreto es entre dos y tres. Es decir, un programa en fase de desarrollo y escalable. Y eso es típico porque creo que todos los fundamentos de un programa están en su sitio, pero les falta comprobar cómo pueden hacer las cosas más escalables y más eficientes, por lo que no pueden llegar a ese estado escalable y optimizado del programa. Por lo tanto, normalmente vemos una puntuación de dos a tres. Creo que con un año de análisis del desarrollo del programa y de algunas de estas debilidades, debería ser posible obtener una puntuación de entre tres y cuatro. Diría que eso es lo habitual si se están haciendo todas las cosas correctas, se están llevando a cabo estas tareas trimestralmente y se cuenta con la responsabilidad interna adecuada para que las personas se responsabilicen de progresar realmente en estas áreas.

Alistair: Muy interesante. ¿Cuál es el mejor que has visto, Joe? Joe: El mejor que he visto es... uno tardío. Ahora bien, otra cosa que hay que tener en cuenta cuando analizamos este tipo de métricas es... el alcance real de la evaluación. Las organizaciones pueden tener un número muy reducido de terceros, en cuyo caso pueden dedicar mucho tiempo a desarrollar algunas de estas áreas. A medida que el programa crece, es posible que incluso veas que las organizaciones bajan en algunas puntuaciones porque el alcance del programa aumenta. Quizás haya una nueva legislación que deban incorporar a su programa de evaluación. Así que, aunque vemos que algunas organizaciones tienen una puntuación bastante alta, yo diría que lo más difícil es mantener esas puntuaciones a medida que crece el alcance del programa. Alistair: Entendido. Gracias, Joe. Me ha sido de gran ayuda. Eso me lleva a preguntarme: ¿cuáles son los factores clave que realmente contribuyen a esas puntuaciones? Ya sabes, las puntuaciones altas, las notas altas, etc. ¿Cómo puedo pasar de tener un programa relativamente inmaduro a algo más complejo? ¿Qué factores contribuyen a ello?

Joe: Sí, deberíamos empezar a desglosar un programa en sus componentes más pequeños para poder ofrecer una visión más detallada u obtener una perspectiva real de dónde podemos mejorar y madurar nuestro programa. Por eso hemos abordado la creación de una evaluación de madurez de esta manera, analizando pilares concretos que podemos evaluar y que veremos en un momento. Pero, en realidad, cuando empezamos a analizar la puntuación, como he mencionado hace un momento, debemos asegurarnos de que tenemos algunos elementos muy claros que abordar detrás de estas preguntas que estamos planteando. Así, por ejemplo, si estamos analizando el contenido de un cuestionario y nuestro grado de madurez en un área concreta de un conjunto de preguntas, deberíamos examinar ese conjunto de preguntas e identificar cómo podemos mejorar a medida que empezamos a revisarlas trimestralmente. Pero sí, hemos mencionado muchos de estos puntos hace un momento. El enfoque binario para completar un conjunto de preguntas, asegurándonos de que hay un enfoque estandarizado para obtener las puntuaciones como resultado de la evaluación. Como he dicho, tenemos que comparar manzanas con manzanas para comprender realmente las mejoras en la madurez. Y otra cosa realmente importante aquí es que, cuando evaluamos la madurez, también debemos intentar aplicar cierta priorización a los resultados. Así que no nos limitamos a considerar que todo dentro del programa es igual cuando evaluamos nuestra madurez. Debe haber ciertas cosas que son más importantes que otras o ciertas dependencias que debemos establecer primero, y ahí es donde tenemos que aplicar un poco más de inteligencia a nuestro contenido de evaluación.

Alistair: Gracias, Joe. Has mencionado los pilares. Los pilares parecen muy útiles y, sin duda, muy valiosos desde el punto de vista de la evaluación comparativa. Me gustaría saber más, Joe. ¿Cuáles son los pilares? Joe: Sí, claro. Gracias. Cuando empezamos a analizar una evaluación o un programa, tenemos que desglosarlo en áreas específicas para poder empezar a comprender cuáles son nuestros puntos fuertes y cuáles son nuestros puntos débiles. La forma más lógica de desglosar un programa basándonos en nuestros tipos de evaluación son los pilares que vemos aquí delante. Tenemos cobertura, contenido, funciones y responsabilidades, corrección y gobernanza. Estos son los cinco pilares que sustentan nuestro programa. Dentro de estos pilares, tenemos una serie de preguntas y un nivel de madurez. La ventaja de desglosar esto más allá de una puntuación global del programa es que realmente obtenemos una visión en profundidad de cuáles son nuestras fortalezas y debilidades. Creo que algunas evaluaciones que solo proporcionan una puntuación global de madurez pierden gran parte de esa visibilidad y granularidad. Y aunque se obtenga una puntuación de 2,94, por ejemplo, es muy difícil identificar lo buena que es. Solo cuando se empieza a desglosar, como se puede ver en este gráfico que tenemos delante, se pueden ver claramente las fortalezas y debilidades que realmente conforman esa puntuación global. Quizás valga la pena que, mientras estamos en esta diapositiva, explique por qué hemos... o dé una visión general de cada uno de esos pilares. La cobertura sería cuánto del patrimonio de terceros estamos evaluando o cubriendo realmente con el programa o cuánto creemos que estamos cubriendo, ¿debería decir? ¿Estamos evaluando a todos nuestros terceros? ¿Tenemos un flujo de trabajo sólido para garantizar que, cuando hay nuevos terceros, se inscriben en el programa y los mantenemos también? A continuación, pasamos al contenido, que es el contenido del cuestionario. ¿Estamos enviando suficiente contenido de evaluación o tipos de cuestionarios para obtener el nivel de evaluación que necesitamos? A continuación, pasamos a las funciones y responsabilidades. ¿Tenemos definidas y documentadas las funciones adecuadas o clave dentro del programa? ¿Está todo el mundo formado? A continuación, nos centramos en la remediación, que es donde nos centramos en los riesgos y el proceso de revisión, y por último, en la gobernanza, que se centra principalmente en la presentación de informes y el mantenimiento de pruebas de auditoría que demuestren que nuestro programa funciona correctamente.

Alistair: Interesante. Joe, una de mis primeras preguntas sobre esto es cómo se valoran esos cinco pilares fundamentales y cómo contribuyen a la puntuación global. ¿Tienen todos el mismo peso? Joe: Sí, es una pregunta muy interesante. Como he mencionado hace un momento, algunas áreas de un programa dependen de otras. Por lo tanto, utilizando la analogía de correr antes de caminar, los componentes relacionados con caminar son los que tendrán más peso. Ya sabes, las cosas que hay que hacer bien para poder crecer. Por ejemplo, en cuanto a las funciones y responsabilidades, no se debe dedicar un sinfín de recursos a un programa para completar las evaluaciones. Debemos fijarnos en los flujos de trabajo, en la formación que se imparte para asegurarnos de que esos procesos se llevan a cabo de manera eficiente, y esas son las áreas del programa que normalmente esperamos que tengan un valor mayor que algunas de las últimas áreas.

Alistair: Gracias, Joe. Teniendo esto en cuenta, parece prudente que profundicemos en algunos de esos pilares individuales. Alistair: Para empezar, Joe, quizá podrías darnos una idea general sobre la cobertura, ya que es un tema clave cuando empezamos a analizar los inventarios de los proveedores y el riesgo de terceros. Joe: Sí, perfecto. Creo que el objetivo principal del pilar de cobertura es garantizar que evaluamos a todos nuestros terceros para no perder ninguna exposición a los riesgos potenciales dentro de nuestra cadena de suministro. Por lo tanto, el pilar de cobertura analiza los procesos que lo respaldan. ¿Tenemos visibilidad de todos nuestros terceros? ¿Existe un inventario de nuestros proveedores? ¿Todo el mundo sabe cómo utilizarlo? Cuando hay una nueva solicitud de servicio de un proveedor, ¿saben nuestros empleados exactamente a dónde deben acudir para solicitar la incorporación de un nuevo proveedor? Así que, en realidad, se trata de tapar esos agujeros dentro del programa para garantizar que no haya áreas potenciales en las que se pueda exponer el riesgo y de las que, en realidad, no tengamos visibilidad. Una vez que sabemos que tenemos una buena cobertura, podemos empezar a identificar y perfilar a esos proveedores de la manera adecuada. Y hay un gráfico muy útil a la derecha que ofrece una visión general de algunas de las lógicas de tarado que algunas organizaciones podrían aplicar. Y realmente el objetivo aquí es que, cuando analizamos a los proveedores, sepamos dónde debemos priorizar nuestros esfuerzos. Así que, si tenemos un proveedor de material de oficina frente a alguien que aloja nuestros datos, queremos asegurarnos de que aquellos que alojan nuestros datos sean evaluados de una manera más exhaustiva y contextual. Por lo tanto, el perfilado y la clasificación son realmente una forma de comprender quién es un proveedor en el momento de su incorporación. Cuanta más información podamos obtener lo antes posible en el proceso, más contexto tendremos para poder evaluarlos de la manera correcta. Analizando más a fondo el pilar de la cobertura, pasamos también a las posibles cuartas partes. U es la tercera parte que estamos analizando, simplemente un intermediario para otro proveedor. Más adelante en la cadena, y esta es un área en la que no vemos mucha cobertura por parte de las organizaciones que evaluamos con la evaluación de madurez, ¿sabemos quiénapoya algunos de estos servicios de terceros. Otro factor importante que contribuye a ello, uno de los más importantes de esta lista, diría yo, es el mantenimiento de terceros. Muchas organizaciones evalúan a las entidades con un enfoque de «una vez y listo», en el que evalúan a un proveedor y nunca vuelven a repetir el proceso de perfilarlo, clasificarlo y asegurarse de que tienen la información de contacto adecuada para ponerse en contacto con él si es necesario. Pero eso también es esencial aquí para asegurarnos de que estamos evaluando a los proveedores de la manera correcta. Ya sabes, nada impide que un proveedor de nivel tres avance en un año hasta convertirse en un proveedor de nivel uno al año siguiente porque, ya sabes, es posible que el alcance de los servicios haya aumentado. Por lo tanto, asegurarnos de que realizamos ese tipo de mantenimiento de terceros también va a ser fundamental.

Alistair: Gracias, Joe. Por lo tanto, desde el punto de vista de las buenas prácticas, si alguien va a crear sus propios mecanismos de auditoría y validación, todos estos son factores que contribuyen a la cobertura que cabría esperar ver, como mínimo. Y, por lo que parece, si la gente desea utilizar la evaluación de madurez predominante, la tenemos disponible. No hay ningún cargo asociado por hacerlo. Más adelante en este seminario web le daremos detalles sobre cómo puede completarla. Pero sin duda se trata de puntos muy útiles como métricas que podemos revisar repetidamente año tras año. Me gusta el término «una vez y para siempre». Creo que es muy aplicable cuando se trata de la gestión de riesgos de terceros, porque es un proceso muy iterativo y continuo. Así que gracias, Joe. Teniendo esto en cuenta, hay algunas observaciones interesantes. Prevenant realiza evaluaciones periódicas y estudios sobre el espacio de terceros y la madurez de los programas. A medida que repasemos algunos de estos pilares y puntos métricos clave hoy, destacaremos algunas ideas que vemos en nuestro análisis y que realmente contribuyen a los fallos y hallazgos habituales en las auditorías de los programas de terceros. Y uno de los más comunes que vemos en lo que respecta a la cobertura, curiosamente, es el de los terceros. Sabemos que ha sido un reto recurrente para la gente. En la mayoría de los casos, la mayoría de las organizaciones tienen suficientes retos para conseguir un inventario de proveedores lo suficientemente decente por adelantado. Por no hablar de poder ampliar ese inventario para incluir a los terceros, los llamados cuartos y los descendientes a los que Joe aludía antes. Así pues, el 79 % de las organizaciones que completan nuestras evaluaciones de madurez y sobre las que investigamos no tenían ningún programa creado para dar cabida a los cuartos. Como tendencia, estamos viendo que eso aumenta y mejora en el sentido de que la gente está empezando a abordarlo a medida que se dispone de más y más herramientas para empezar a descubrir las partes finales, o lo están haciendo a través de evaluaciones, pero eso parece ser uno de los factores más comunes que están afectando al pilar de la cobertura. Muy bien, Joe, ¿te importaría darnos un poco de información sobre el contenido?

Joe: Contenido. Sí. Una de las razones clave por las que los procesos empiezan a ser ineficaces y creamos ciertas zonas grises en la identificación de riesgos. Así que, para empezar, lo realmente importante es que primero entendamos exactamente cuáles son nuestros componentes de evaluación cuando empezamos a analizar a los proveedores. ¿Se trata simplemente de enviar un cuestionario con preguntas estándar que todos los proveedores reciben por igual, o estamos empezando a aplicar cierta lógica a la forma en que evaluamos a los proveedores? Aquí es donde entra en juego el marco de evaluación. Y, como dije antes cuando mencioné algunos aspectos fundamentales clave para un programa, el marco de evaluación es probablemente una de las primeras cosas que se deben tener en cuenta. ¿Cómo sabemos que estamos evaluando a los proveedores de la manera correcta? ¿Existe alguna lógica que podamos utilizar para determinar qué nivel de trato deben recibir los proveedores? Por lo tanto, el marco de evaluación debe detallar el tipo de cuestionario que podrían recibir o si se les va a aplicar una medida correctiva, ya sea mediante una sesión remota o si se requiere una visita in situ, si algún elemento de supervisión o gestión de amenazas debe contribuir al enfoque de evaluación y, junto con la lógica de tarificación que vimos anteriormente, la lógica de perfilado y clasificación. Si comprendemos el perfil completo de un proveedor desde el principio, podemos asegurarnos de que esta información se aplique con precisión a esos proveedores y de que estamos utilizando nuestros recursos de forma inteligente e invirtiendo en las áreas adecuadas dentro de nuestra propiedad de terceros. Esa es la primera pieza aquí. Y luego se reduce realmente al contenido que incorporamos a nuestro enfoque cuando evaluamos a un proveedor. Muchas de las evaluaciones que vemos que utilizan los clientes son preguntas binarias de tipo sí o no. ¿Hay alguna forma de mejorar nuestro enfoque de evaluación para obtener toda la información que necesitamos y hacer que sea lo más fácil de usar y lo más ágil posible para nuestros proveedores? Hemos dedicado mucho tiempo a desarrollar internamente conjuntos de preguntas que sean fáciles de usar y lo menos agresivas posible, ya que esto mejorará nuestras relaciones con los proveedores, ya que dedicarán menos tiempo a rellenar encuestas. Y si aplicamos el nivel adecuado de consideración al elaborar nuestros conjuntos de preguntas, podremos asegurarnos de obtener toda la información clave que necesitamos para tomar decisiones sobre, por ejemplo, si un tercero necesita un seguimiento sin tener que volver a contactar con él y hacerle una serie de preguntas para llegar realmente al meollo de la información que necesitamos. Por lo tanto, hay una gran ventaja que podemos obtener al empezar a considerar cómo invertimos tiempo en elaborar conjuntos de preguntas. Ya sea que hayamos incluido orientación, tenemos la comunicación adecuada para respaldar el contenido que enviamos. Cualquier cosa que podamos hacer para que ese proceso sea lo más fluido posible y obtener la mayor cantidad de información de calidad de nuestro tercero con la menor cantidad de interacciones posible es el objetivo aquí. Una parte clave de esto también es que, una vez que tengamos el contenido del cuestionario con el que estamos satisfechos y hayamos aplicado algunas de esas técnicas, debemos asegurarnos de que la puntuación esté en su lugar y sea madura. Entonces, ¿hemos alineado nuestros conjuntos de preguntas con un apetito de riesgo interno? Creo que asegurarnos de que contamos con esa base fundamental que es la tolerancia al riesgo empresarial nos permitirá aplicar ese tipo de lógica a los cuestionarios que enviamos, de modo que podamos obtener un buen resultado de los elementos de riesgo que realmente necesitan un seguimiento por nuestra parte.

Alistair: Gracias. Joe, hemos recibido algunos comentarios del público aquí presentes sobre las evaluaciones. Apreciamos que existan conjuntos de preguntas estandarizadas, como las SIG, que son estupendas, pero algunos de los comentarios se refieren a que los proveedores acaban enviándolas a un registro central que no se ajusta a nada en particular o les proporcionan un informe Sock Two o algo similar, y eso es básicamente todo lo que hacen. Así que lo interesante aquí es si es importante poder establecer un proceso que convierta o adapte cualquier documentación que se reciba. Tal vez se trate de pruebas de un informe Sock 2, una declaración de aplicabilidad 27,01, etc. Se trata de disponer de un proceso que permita adaptar eso a la metodología estandarizada de la que hablaba Joe. Es decir, disponer de mecanismos de puntuación y de riesgo que estén alineados pero sean coherentes. Ser capaz de adaptarse y traducir. Es muy interesante que, cuando empezamos a analizar las tendencias, al examinar estas evaluaciones en su conjunto, resulta decepcionante que el 52 % no tenía una forma estándar de presentar los datos de riesgo, y lo que queremos decir con eso es que, a través de los diversos medios y medianas de obtención de información, dos auditorías, SIG, sus propias evaluaciones patentadas, datos de supervisión, etc., no tenían una forma de estandarizar eso y compararlo, lo que se relaciona en gran medida con los comentarios anteriores de Joe sobre asegurarse de tener un mecanismo coherente y, por lo tanto, la capacidad de establecer umbrales de riesgo en toda la empresa. Esto es extremadamente importante cuando se empieza a hablar de miles, decenas de miles, cientos de miles de terceros, porque, seamos sinceros, si no son iguales entre sí, la vida se va a complicar mucho más adelante. Por desgracia, ese es uno de los factores que más contribuyen a los bajos resultados de madurez y a los fallos en las auditorías cuando se trata de contenidos relacionados específicamente con el riesgo de terceros. Joe, ¿serías tan amable de darme algunas ideas sobre las funciones y responsabilidades?

Joe: Yeah, perfect. Thanks, Alistister. So, this particular pillar is is really interesting because again, it’s going to really have a huge impact on efficiency, you know, how well we develop this particular area. So, making sure we have the right roles and responsibilities defined for a program is going to be really important. Making sure that we have all of our processes for doing out assessments, on boarding suppliers, um you know, managing that assessment process all the way through to remediation and reporting. Making sure we’ve got our roles aligned to those um specific areas accurately is going to be uh really really important. When it comes to um resource actually performing tasks, we should always try and look at how we can streamline those uh processes because if there’s an efficient an inefficiency for one particular vendor, uh then that problem is only going to get multiplied with every vendor that we on board into the program and have to perform that particular process on. Uh so I recommend we invest heavily in looking at those processes seeing how we can streamline them you know is there any automation that can take place you know could we leverage a platform to send the assessments and you know manage the chasing process for example anything we can gain here is going to be really critical to uh moving from that scoring of a two that we saw earlier where we’re just developing a program up to something that’s more scalable. Um, also to support this, we see a lot of um issues with uh with role alignment. You know, we have um one particular uh resource that’s really experiencing risk remediation that might be chasing up responders for responses on um on on risks they might be discussing, for example. So, again, making sure we’re aligning our right resource to the right jobs and tasks. again is going to be improving um the uh the efficiency of of the program. Um one thing as well that we don’t see many clients performing on a regular basis is resource forecasting and this is actually something um really easy to do. We should be able to understand pretty early on whether the uh resource we have within our team is enough to be able to support you know x number of vendors over the course of a year. We know how long each of our processes take. uh we know we’ve we may have streamlined them as well to make sure they are as efficient as possible. So now we should be able to do some basic calculations to work out you know how much of a um of a scale can our team manage and performing those types of exercises is going to be really helpful in planning and making sure we’re setting oursel up for success rather than failure as we start to build out the program on board new suppliers and um and overall begin to scale. Alistair: Thank you, Joe. It’s certainly second based on the programs I’ve seen, some of the commentary that Joe’s had there. So, when it comes to allocating the right resource for the right job, we have yet to see a overstaffed TPRM program. You might be the odd unicorn that exists out there, but um if you are, you certainly are that unicorn and congrats to you. Uh but typically what we would see is the fact that you have a small team with shared capabilities and even some quick wins such as documenting skills matrix. based on who’s doing what. Not so much a racy roles and responsibilities, but also understanding for the variations that you might have in your process, who can actually take on what role and making sure that you’re allocating responsibilities accordingly is very important. And that contributes to those resource forecasts that you do because the reality is you could be overcommitting over what you’re able to achieve in one year. And that’s a very common issue that we see. People overcommit and essentially misrepresent what they’re able to do in 12 months. And even if you do the a significant amount in year one, you end up still looking like you’ve missed targets, which is totally unfair. That is sadly still too common in this space. But what are the most common observations that we are seeing when it comes to roles and responsibilities? Uh at the very top there, lacking the standardized process. So this is about establishing a process for operations. Uh third party risk management is still a very workflow heavy activity. Tools automate and help make decisions, define thresholds etc. But you nonetheless need a process for identifying the information, reacting to the information, articulating and sharing it across the business. 62% did not have a consistently standardized process. 52% had planning shortfalls. This is where they when we ultimately looked at capacity planning, the reality is that they would never be able to achieve what they’ve committed to to the execs. Uh and that is sadly undermining all the good efforts that they’re doing throughout the year. So, we strongly strongly recommend looking at resource capacity planning and then factor that in based on the limited in information you’re probably going to get from your third parties and be pragmatic and realistic. And 59% actually overspent on TPRM resources. What do we mean by that, Joe? I think you touched on it not too long ago, which is you’ve got say senior risk consultants who are wellversed to dealing with the intricacies of risk management sitting there doing things like chasing responses, asking generic questions, answering generic questions as well across third parties. That’s not a good use of their time. The reality is there’s going to be a large subset of risks that they need to deal with. So aortioning the right duties to the right people is certainly uh valid and worthwhile. Joe, please share more on remediation for me.

Joe: Remediation uh again I keep hammering home this point around efficiency, but um it really is going to be key here as well. Uh a lot and you even touched on it there with one of the the stats you mentioned around um some inconsistent approaches. So, one thing we we’re commonly finding with with remediation is um there’s not a consistent approach leveraged by teams to perform review process pro processes, whether that’s a review of a submission that’s just been returned to us from a a vendor uh or it’s an actual risk that needs to be reviewed internally. There’s always seems to be a lack of um a standardized approach that’s actually documented to support these types of activities. So things like playbooks, uh if we’re looking at a question and they answer X or Y, you know, what should we do? What’s our standard response? You know, actually looking looking at our um request for evidence and where they provide it, you know, providing some guidance internally on what we should look for. to validate that this particular evidence is fit for purpose. The more we can invest in in that type of process and documenting it, the less we would have to rely on some of these more expensive resources performing these types of tasks because we’ve actually documented it. It’s more of a playbook and there’s some some standardized logic to it. So recommend uh and of course we’re we’re um we’re reviewing everything consistently which is going to be beneficial to uh to the program. So I recommend uh you know we we build on that as a dependency or one of our more heavily weighted areas for improving maturity within this particular area. Um making sure we have aligned a good and um maintained uh risk scoring to the the types of uh risks that we’re assessing as well. It’s going to be beneficial. So we have seen a lot of um question sets which have been used within within programs where they just using a binary approach of you know is this in place yes or no. Um without applying that scoring and that waiting to how important that particular question is to the business it becomes very difficult to prioritize these items for review internally. You know we want to be able to tell our suppliers you know these are the key things we need from you right now as must-haves rather than these other 50 that might be nice to haves. So investing time into making sure you scoring is uh is up to date, maintained and um and reflective of our our internal risk appetite uh would be really uh really beneficial for maturity when it comes to risk remediation approach. Uh again a playbook is going to be hugely helpful and uh when I perform these exercises of actually debriefing some clients on their maturity assessments uh I bring this up almost every session and just say if we invest some time into defining what remediation looks like to you and how can we standardize it. Um we’re going to hugely improve the the efficiencies in that particular area. And again, as Alistister said a second ago, you know, why are we using our expensive resource to manage things that we can document and ask maybe our more junior resource or different roles to conduct for us? Any levels of filtering we can apply to those those types of processes will increase our efficiency um and overall our maturity of our program. We discussed on the last piece around uh resource management. Again the same can be applied to remediation. We should be able to grasp what our uh our scale of remediation looks like based on the team we have internally. You know how many risks can we manage a day? Do we have guidelines on um you know when our chases are needed to make sure things are in place by you know those types of uh of attributes can be really beneficial to maturing. the remediation area. And I would say although these these these things seem like uh you know it’s a heavy investment of time I actually think you could accomplish quite a lot of this stuff you know within the scope of a month say of building out what risk mediation looks like and um and standardizing it from that point onwards it’s going to be a process of evolving that playbook over time. This is never going to be uh a oneanddone approach like I mentioned earlier. If we can define our our our logic of if this then that for risks being identified and then just build on that and evolve that over time that playbook’s only going to get more and more advanced. Um and with that we’re relying on less and less expensive resource to conduct those types of activities. So another really good one there for uh for improving efficiency and that also ties into the last point there around standardization and process. We need everyone to be conducting remediation approaches in the same way, you know, having workflows defined, considering things like uh the profile of a vendor and the tier of a vendor, obviously that can impact on, you know, how we’re approaching remediation. So the more we can build on that type of activity, uh the more maturity we’re going to see in these particular areas.

Alistair: Gracias, Joe. Una pregunta habitual que nos hacen cuando se habla de remediación es que, naturalmente, la gente siente que los proveedores y las partes no se comprometen y, en algunos casos, exigen una inversión desproporcionada para que acepten y se dediquen a abordar el riesgo. Ahora bien, lo que normalmente nos gusta dejar claro al respecto es que la clave aquí es el pragmatismo. En la mayoría de los casos, cuando empezamos a analizar un programa de terceros, los niveles de tolerancia y los umbrales de riesgo suelen ser muy permisivos. Permiten que un gran volumen de riesgos se clasifique como crítico, alto o medio, lo que puede ser desproporcionado. Normalmente, tras un periodo de ajuste y perfeccionamiento, se empieza a ver cómo se adapta la remediación, se empieza a ver cómo disminuyen los volúmenes y se empieza a establecer realmente cuál es el umbral de tolerancia de la organización, lo que, por supuesto, impulsa la remediación. Por lo tanto, desde esa perspectiva, solo debería ser un pequeño subconjunto de sus terceros en el que realmente se esté llevando a cabo un trabajo de remediación activo frente a su inventario de proveedores mucho más amplio. ¿Cuáles son las observaciones más comunes que solemos ver cuando nos fijamos específicamente en la remediación? La más común, y es muy alta, es que el 86 % carecía de directrices de remediación coherentes. Esto incluye a organizaciones que utilizan cosas como SIG, su propio contenido propietario, supervisión pasiva en todos los ámbitos. Si hay ciertos riesgos que superan sus umbrales de tolerancia, debería haber una guía estandarizada. Así, si los consultores de riesgos del mundo desaparecieran por arte de magia un día, todos tendríamos la capacidad de llevar a cabo un cambio positivo con los terceros. Todos tendríamos la capacidad de llevar a cabo un cambio positivo con los terceros. Por lo tanto, documentar eso es clave y, lo que es más importante, es escalable a medida que comenzamos a compartir ese conocimiento con terceros, compartiendo el conocimiento de los equipos de auditoría y compartiéndolo con nuestros analistas que realizan el trabajo. El segundo 59 % no tenía un modelo coherente de puntuación de la probabilidad y el impacto del riesgo. Por lo tanto, tanto si utiliza el modelo justo, por ejemplo, para la cuantificación del riesgo, como si utiliza los modelos tradicionales de probabilidad e impacto del riesgo, le recomendamos que se asegure de contar con un mecanismo coherente. Independientemente de la fuente de datos, la supervisión pasiva, el uso de su propia metodología de evaluación, ya sean dos informes entrantes, debe disponer de un modelo de riesgo coherente que le permita impulsar la corrección basada en umbrales de tolerancia. Pero sí, según nuestra experiencia, el 59 % no lo tiene. Joe, me gustaría que nos dieras una idea sobre la gobernanza, el último pilar.

Joe: Yeah, sure. Um, and this starts with a couple of points around reporting, uh, which I’m investing a lot of time into at the moment internally in uh, in developing what’s good and what’s meaningful from a reporting standpoint. Um, but it actually becomes quite challenging to provide this type of reporting without some form of system to support the assessment approach. Uh, we need to know uh, we need an output from our assessment. We need risk registers. We need some scoring mechanisms behind it to be able to collect this data and and present it back to the business in in a meaningful way and something that they can understand and and interpret. Uh which becomes, you know, quite challenging when we’re working with just Excel documents or, you know, standalone assessments on in different files and different areas of our of our desk, let’s say. Um but when we’re using more um uh more automated systems, we can start to pull this information together. and provide something quite uh quite automated, quite quick and of course we can start to collect data together and that’s when this stuff becomes a little bit more powerful. So from an individual reporting standpoint here we’re referencing how mature are you able to report on a particular third party as an output from an assessment. And this shouldn’t just be you know there was this x amount of risk items and and we’re managing them and here’s our target dates. We should also include here any context around who that third party is, what they do for us, uh who would be impacted by this particular third party if we were to terminate services with them and what tier they might be. You know, those types of attributes and immediately that starts to add to the story of the data that sits within this type of reporting. Um so being able to collect that data together and prioritize the output from our our risk review and and the assessment content um would would demonstrate some real maturity from an individual reporting aspect. Additionally, we’d be great to be able to prepare to be able to pair that with some of our monitoring data that you might be using as well if you’re leveraging passive insights around businesses and uh and whether there’s any new emerging threats related to that industry. Again, all of that information paints that better picture for that individual third party and demonstrates a maturity within that area. When it comes to program reporting, it again relies on a method of collecting data together. Uh, ideally we want to be able to see um how one vendor stacks up against another vendor. Um, which could be, you know, hugely helpful if you were leveraging this approach for things like um RFPs and those types of aspects. Um, but also it’s going to be really helpful to see trends. You know, how how does um uh how many risks particular type are we seeing within the program? Are there sudden spikes or commonalities in risk within uh within the program? And probably one of the most valuable metrics to be able to see and demonstrate back to the business to uh to give get some value from all the hard work that the program has been putting in is can we demonstrate risk reduction. Uh and that’s something that yes, organizations can say they’re doing uh I would hope. But being able to say they’re doing accurately becomes more challenging and that’s where we then lean on some of the other areas that we’ve been talking about today. You know, how accurate our remediation approach is. Whether we can uh provide some assurance that the whole program is within scope of our uh sorry, all of our third party estate is within scope of our program. Whether we are happy that we’re maintaining third party information. When it’s it’s only when it’s paired with all that that we can demonstrate some with some accuracy that our program is working and and functioning successfully. Uh using that information, of course, we need to be able to demonstrate to other areas of of the business that uh you know where we’re seeing threats and um anything valuable or meaningful uh to them. As I said a second ago, when we start to aggregate these reporting, we can start to um we can start to add a bit more value to the other areas in business. I think it becomes more and more challenging to give some definitive answers about risk to the rest of the business when we’re just looking at things on a on an individual third party by third party basis. Uh a couple of quick points here just to mention around maturity. So the whole aspect that we’ve talked about today is you know dissecting a program measuring maturity across each area. We need to make sure we’re doing this consistently. Um there’s a chart on the right there giving some indication that we should be doing this at least quarterly which is something I recommend. Uh I think that’s useful for a couple of reasons. Uh one Of course, um we can demonstrate hopefully some improvements in those areas, but also it makes sure that if we are assigning objectives and tasks to improving our program that they are being worked on and we are seeing progress without making sure these checkpoints are in place. You know, other things can take priority uh over uh improving third party program maturity. So, ensuring this is brought up time and time again as part of an agenda uh make sure that we’re accountable and that we are you know adhering to some of our tasks to get program maturity increased.

Alistair: Gracias, Joe. Y para aquellos de ustedes que estén más interesados en algunos de los KPI y KIS que esperamos ver en un buen programa de TPRM, por supuesto tenemos algunos contenidos en seminarios web anteriores relacionados con eso que hemos hecho con la evaluación compartida. Así que no duden en echar un vistazo al sitio web de prevalencia y encontrarán un poco más de información al respecto. Cuando empezamos a analizar la gobernanza, como Joe ha mencionado acertadamente, las buenas prácticas dictan la coherencia. Y algunos de los problemas más comunes que vemos relacionados con esto es el hecho de que la gente está tergiversando los informes basándose en su alcance. Dicen, por ejemplo, que el 80 % de nuestros proveedores tienen este resultado, pero solo están evaluando el 5 % de su cartera, su inventario de proveedores. Son datos engañosos y, en última instancia, pueden llevar al resto de la empresa a una falsa sensación de seguridad. Es de esperar que el equipo de auditoría detecte rápidamente algunos de estos datos y sea capaz de identificar la cobertura del alcance en comparación con los resultados obtenidos. Así que, por favor, tenedlo en cuenta. Cuando nos fijamos específicamente en la gobernanza, nos dimos cuenta de que el 69 % estaba perdiendo oportunidades de informes estratégicos en los que podían utilizar la información del programa TPRM para impulsar resultados empresariales positivos. Alimentar y compartirla con el resto de la empresa, por ejemplo, con el equipo de privacidad, con el departamento de compras para demostrar el cumplimiento o incumplimiento de un proveedor, para ayudar en las negociaciones de renovación de contratos, compartirla con el departamento jurídico, por supuesto, y con el de cumplimiento normativo. Los conjuntos de datos pueden tener múltiples beneficios, ya sea para conseguir más presupuesto o para apoyar a otra parte del negocio. En segundo lugar, el 59 % tiene dificultades para obtener una visión general, perdón, una visión global del riesgo de terceros. Y esto se debe simplemente a que hay una falta de coherencia entre sus programas o a que no son capaces de articular el conjunto de datos de manera que los ejecutivos, el comité directivo, etc., puedan ver los resultados. Por lo tanto, recomendamos asegurarse de que se dispone de mecanismos de información, KPI o K eyes que ayuden a articular el progreso del programa. Entonces, ¿qué sigue? Les daremos un poco más de información específicamente sobre las evaluaciones de madurez, cómo pueden crear las suyas propias o aprovechar la oferta predominante y cómo pueden, en última instancia, obtener acceso a ella. Y solo para reiterar, algunos de estos hallazgos provienen del amplio conjunto de evaluaciones de madurez que Prevenant ha realizado a nivel mundial en múltiples organizaciones de múltiples disciplinas, verticales y tamaños. Es un conjunto de datos amplio e interesante. En resumen, ¿qué sigue? Ahora tenemos una idea de los tipos de información que esperaríamos ver o que una auditoría esperaría ver en esos pilares comunes. Lo primero que recomendamos es priorizar las mejoras. Si han podido documentar su lista de referencia de factores contribuyentes en sus propios pilares o, por supuesto, utilizando el modelo de madurez prevalente, la evaluación de madurez, recomendamos identificar y documentar sus debilidades, las áreas de mejora. Si comprende el impacto de estos en función de su cartera y su organización en su inventario de proveedores, por supuesto, puede empezar a analizar qué es lo que hay que abordar primero. Un factor que contribuye a ello es el nivel de esfuerzo. Lo ideal sería compensar el nivel de esfuerzo con el beneficio y el riesgo asociados a él, lo que le proporcionará una lista priorizada de acciones que podría emprender. Inevitablemente, verá algunos beneficios rápidos, probablemente menos relacionados con el inventario de proveedores, sino más bien con los cambios operativos y los procesos, e incluso, potencialmente, con el contenido. Una vez hecho esto, tendrá la oportunidad de empezar a planificar y asignar plazos realistas a las personas que tienen los conocimientos especializados adecuados, y luego definir cuáles son sus objetivos reales. Queremos aumentar en 0,8 puntos este pilar y en 1,2 puntos este otro en los próximos 12 meses, y estas son las medidas concretas y cuantificables que podemos tomar para conseguirlo. Cuando se divide en pilares, cuando se divide en fases y se le asigna un enfoque típico basado en proyectos, la vida se vuelve mucho más fácil. Demuéstralo en las auditorías anuales a medida que avanzas en esos ciclos de auditoría. Antes de ceder la palabra a Scott, me gustaría volver a pasarle la palabra a Amanda, de nuestro equipo, para que haga una encuesta rápida más. Amanda,

Amanda: Hola. Bien, tengo aquí otra encuesta rápida. Muchas gracias. Voy a lanzarla ahora mismo. Es una pregunta muy sencilla y directa. ¿Están pensando en ampliar o establecer un programa de gestión de riesgos de terceros en los próximos meses? ¿Están investigando para hacer algo para 2023? ¿Es esta una de las razones por las que están aquí? Si quieren hablar con nosotros, conmigo o con mi equipo, por favor, respondan con sinceridad. Por favor, digan que sí. Así podremos ponernos en contacto con ustedes. Eso es lo que hacemos. Voy a dejarla activa durante un rato. Cuanto antes respondan, antes desaparecerá. Es una pequeña diversión, ya saben, para quitármela de encima. Sigamos adelante. Con eso, la dejo activa y le cedo la palabra a Scott Lang.

Scott: Hola, muchas gracias, Amanda. Alistister, pasa a la siguiente diapositiva, por favor. Bueno, todo lo que habéis escuchado hoy de Alistister y Joe tenía que ver con ayudaros a avanzar en vuestro programa desde el punto A en el que os encontráis ahora hasta el punto B o C que deseáis alcanzar en el futuro. Y vemos muchos retos a los que se enfrentan las organizaciones para llegar hasta allí. Alistar, puedes pasar a la siguiente diapositiva para acelerar un poco más la presentación. Pero esas tres cosas que, como sabes, vemos que las organizaciones quieren lograr, que son las que más destacan, son obtener mejores datos para tomar buenas decisiones, facilitar y aumentar la colaboración entre equipos de diferentes departamentos de la empresa, ya que todo el mundo participa de alguna manera en la gestión de terceros, y luego desarrollar y ampliar sus programas con el tiempo. Sabes que esas tres áreas son precisamente lo que prevalecemos para ayudar a crecer y madurar un programa de gestión de riesgos de terceros a lo largo del tiempo, lo cual, en la siguiente diapositiva, puedes ver nuestro enfoque prescriptivo para el éxito, ya que solo miramos la gestión de riesgos de terceros desde la perspectiva de un ciclo de vida, porque cada fase distinta de ese ciclo de vida de la relación presenta riesgos únicos y, sise está quedando corto en la parte inicial o final de ese ciclo de vida, no está obteniendo una visión holística de lo que su organización puede hacer para mejorar su posición y su madurez con respecto a estos diversos riesgos. No voy a entrar en detalles porque me gustaría abrir un turno de preguntas, pero pueden ver que, al fin y al cabo, lo queintentamos conseguir es proporcionarte las herramientas que necesitas para ayudarte a simplificar y acelerar la incorporación, ofrecerte un proceso programático, agilizar el proceso de evaluación de proveedores y cerrar las brechas de riesgo, y luego unificar tus equipos con el tiempo. Siguiente diapositiva, por favor. Alistister, ya saben que nuestra oferta de soluciones es una combinación única, diferente a la de otros actores del sector, en cuanto a las personas, los datos y la plataforma, o los expertos que tenemos en plantilla para ayudarles a diseñar, construir y madurar su programa con el tiempo. Una cantidad increíble de datos que se utilizan para calcular los riesgos y medir su progreso a lo largo del tiempo. Todo ello alojado, controlado y gestionado en una plataforma galardonada que nos permite, que les permite centralizar sus tareas y su gestión y mejorar sus procesos a lo largo del tiempo. Siguiente diapositiva, Alistister, por favor. Y tenemos un conjunto de casos de uso que abordamos con la plataforma, divididos por departamento o área, ya sea que estén alineados con las compras, la seguridad informática o la privacidad de los datos desde el punto de vista legal. No me detendré en esto. Lo tendrán después de la presentación de hoy, pero basta con decir que abordamos una importante familia de riesgos en todos los ámbitos. No solo los riesgos tradicionales de ciberseguridad de TI, aunque esos son los predominantes, sino que también podemos ayudar a las organizaciones a abordar los riesgos de tipo no informático. Siguiente diapositiva, por favor, Alistister. Lo que realmente se reduce a unas cuantas preguntas que he visto aparecer en la ventana de preguntas hasta ahora es qué puede hacer Prevalent para ayudar y cómo se puede aprovechar una evaluación de madurez muy prescriptiva para ayudar a comprender dónde se encuentra ahora y dónde quiere estar en el futuro. Le recomendamos que se ponga en contacto directamente con Prevalent y en el correo electrónico de seguimiento de este seminario web, cuando le enviemos la grabación mañana por la mañana. Incluiremos una copia de la presentación, pero también un enlace para que se registre en una breve conversación con nuestros expertos, que pueden ayudarle a trazar un diagrama con el siguiente paso, que sería realizar esa evaluación de madurez. No quiero lanzarle directamente a eso. Es un proceso muy disciplinado y bien pensado, muy completo y bien elaborado. Son unas 45 preguntas repartidas en cinco niveles y múltiples ámbitos diferentes, y da como resultado la elaboración de un plan de actuación para mejorar el programa. Se trata de un ejercicio guiado en el que le acompañamos y le explicamos todo el proceso para que pueda maximizar sus resultados. En resumen, mañana recibirás un correo electrónico nuestro con la grabación de esta presentación. En él encontrarás el enlace para registrarte y obtener más información sobre la evaluación de madurez. Ya sabes, haremos un seguimiento y te guiaremos a lo largo de ese proceso. Creo que eso es todo lo que tenía que compartir contigo, Alistister.

Alistair: Eso es estupendo. Fantástico. Solo para reforzar lo que dice Scott. Por supuesto. Esperamos que hayáis podido extraer de las conversaciones de hoy algunas de las métricas y criterios clave que sabemos que buscan las auditorías y que nos gustaría que se abordaran en un programa común. Tanto si utilizáis esos puntos de referencia para autoevaluaros como si utilizáis la evaluación de madurez predominante como vuestro propio punto de referencia externo, sin duda son buenos puntos comunes. Reiteramos una vez más que hay cinco pilares fundamentales que sin duda recomendamos cubrir. Así que si está empezando a examinar, por ejemplo, sus funciones y responsabilidades, la remediación, la gobernanza, el contenido y la cobertura, sin duda estará en buena posición para asegurarse de que ha cubierto todas las áreas más comunes. Hoy hemos hecho todo lo posible por responder dinámicamente a las preguntas que nos han llegado a través del chat. Pero, por supuesto, si tiene alguna otra pregunta, no dude en ponerse en contacto con nosotros y estaremos encantados de darle más detalles después de la sesión. Pero, en cualquier caso, quería darle las gracias por hoy y le cedo la palabra a Amanda.

Amanda: Sí, voy a decir exactamente lo mismo. Muchas gracias a todos por asistir. Faltan dos minutos para la hora, así que os devolvemos la palabra. Sé que habéis oído esa broma. Es como: «Oh, mi vida va a cambiar ahora en estos dos minutos. Muchas gracias». Pero os volveremos a contactar de todos modos. Esperamos veros en la próxima. Si tenéis alguna otra pregunta, no dudéis en poneros en contacto con nosotros. Nosotros nos pondremos en contacto con vosotros. Y siempre respondemos. Revisad vuestro correo no deseado, porque solemos acabar allí. Así que, si estáis esperando algo de nosotros, mirad siempre allí. Una cola tan antigua como el tiempo. Ya sabéis cómo va. Muy bien. Muchas gracias a todos. Que paséis un buen día. Adiós.

Orador no identificado: Gracias.