Los 10 errores más comunes del programa de gestión de riesgos de terceros

Amy Tweed: Muy bien, bienvenidos a todos. Veo que algunas personas están empezando a llegar poco a poco. Mientras se acomodan y se ponen cómodos, voy a lanzar una pregunta rápida para una encuesta, porque tenemos mucha curiosidad por saber qué les ha traído hoy aquí, a nuestro seminario web, sobre los 10 errores más comunes en los programas de gestión de riesgos de terceros, o mejor dicho, en los programas de gestión de terceros. Me llamo Amy Tweed. Estoy aquí para ayudar a transmitir las preguntas y que todo vaya sobre ruedas. Verán las preguntas de la encuesta aquí mientras se acomodan. Tenemos, ya saben, ¿qué les ha llevado a participar? ¿Es por motivos educativos? Quizás aprendan mucho hoy. Este es un tema muy candente y sé que estoy emocionada por aprender mucho. Quizás tengan un próximo proyecto de gestión de riesgos de terceros y sientan curiosidad por saber qué deben evitar. Este es un seminario web muy interesante al que asistir. Quizás no tengan ni idea de por qué están aquí. Pero quizás se queden. Quizás aprendan algo. Y quizás sean clientes habituales, lo cual también es estupendo. Así que están aprendiendo a utilizar nuestra plataforma y nuestros servicios en toda su extensión. Muy bien, antes de dar paso al anfitrión de nuestro seminario web de hoy, voy a comentar algunas cuestiones de organización. Esto se está grabando, así que si necesita ausentarse, se lo enviaremos a su bandeja de entrada a primera hora de mañana, para que pueda verlo cuando le venga bien. Además, queremos que sea muy interactivo. Por eso, tenemos la función de preguntas y respuestas en la parte inferior de la pantalla. También tenemos la función de chat, así que si surge alguna pregunta mientras Alastair y Joe continúan con este seminario web, por favor, envíenosla. Realmente queremos ayudar. Así que, por favor, haz que sea interactivo. Y sin más preámbulos, ya que no estás aquí para escucharme, voy a ceder la palabra a Alastair Parr y Joe Tolley. Alastair Parr es el vicepresidente senior de productos globales y riesgos de Prevalent. Hoy también nos acompaña Joe Tolley, otro miembro del equipo de Prevalent que ha trabajado con cientos de clientes de gestión de riesgos de terceros para ayudarles a configurar sus programas. Um, así que les cedo la palabra. Espero que ambos estén bien hoy. Muchas gracias. Hola. Hola, Joe. ¿Me oyes? Muy bien.

Joe Tolley: Por supuesto que sí. Hola a todos.

Alastair Parr: Lovely. So, uh, between myself and Joe today, we’re going to give you a bit of insight into the key challenges and issues that we’ve seen from really assessing and managing hundreds of third party programs over the years and invariably we tend to see the same mistakes and issues and and fundamentally the challenges whenever we start engaging with uh respective customers and clients around the third party program. So, between the pair of us Uh beyond our general experience of having the oversight of third party programs, we’ve also got backgrounds in data loss prevention respectively uh firewall and and incident management uh as well as operations and delivery both for information security programs as well as of course third party risk specifically. That’s enough about us. Without further ado, uh just to set the scene slightly, we’re just going to give you a little bit of insight into really fundamentally what’s involved in a third party program. And as I’m sure many of you already know, but for those who don’t, just to reinforce, and this is really where all of the key issues that we find stem from, uh there’s there’s a series of activities and actions that formulate a third party program. And starting at the top, what we typically see is that people start off with understanding, well, what are we actually trying to achieve? What what’s the maturity of a third party program? Uh based on what we want to achieve, how are we going to track and react to that? So, what are the KPIs, KISS that we react to? Then they define the scope. So, well, we know what we want to do. What do we to do it against and they outline the third parties and then they define what they want to assess them against. So how deep do we go? How broad do we go? Are we using assessments? Are we using monitoring etc. From there they tend to start doing assessments capturing data whatever it needs to be and then standardize and review that data set. Uh they obviously have to involve the business third parties in that process etc before finally actually doing something with the data and then funament ly repeating that process time and time again. Now, we’ll touch on some of the key issues and challenges that we see across the gamut of everything you see in front of you now, but something we’ve learned over time is it’s very very similar to how we deal with datos prevention programs, which is there is a sea of information that you need to troll through and get through and assess. And once you’ve got that data, people get paralyzed with what on earth do I do with it? How can I make it actionable and interactive as a as a human being? And we’ll touch on some of that shortly. So, Firstly, as the primary starting point when we look at a third party program, people start with governance, reporting and business involvement. So they’re understanding from that prior slide, what are we looking at? What’s our definitions of maturity going to be defining our KIS etc. It’s really that initial starting point which is capturing requirements and understanding uh the contributing factors and metrics that drive our program. And when you think about that, the very first challenge that we often see and the top issues is really down to the community. ations and responsibilities process that you see from the outset. So we’ve always and consistently seeing that a third party program as you expect is it’s a team effort. It’s a team not just in the sense of the third party risk team but uh it’s a team effort between legal procurement infosc compliance audit etc. All working together and the business all working together to prop up this this concept of a third party risk program. And too often we’re seeing people working in isolation. Vested teams have established processes the business users disin interested etc. and they’re not working in collaboration. Tied to that is well how do we actually get people to work together? They’re not defining the roles and responsibilities on interactions. People are intrepid about engaging the business in any sort of meaningful way. Uh and they don’t want to disrupt existing patterns and processes that might be in place. That could be in a specific business area that could be related to how the business operates themselves but fundamentally they’re they’re scared of change in that situation. Now hopefully For those of you on the call that have a program, that is you there at the front spearheading this uh this functional and collaborative third party program. But more often than not, we uh we do tend to see people um unfortunately with a slightly less polished approach, should we say, to third party risk management. So what can we actually do to prepare? How do we address these issues? First and foremost, what we normally recommend is start looking at the life cycle of life cycle of third party risk management. So we want to understand what what Where does it start from? Well, we have sourcing, RFP, RFX processes up front that define who a third party is. That goes through various systems through contracts and procurement. Uh, and then goes through an intake process to be on boarded. Uh, that of course then follows through to the third party program eventually who can then prioritize, tier, classify, and then drive risk remediation downstream. And the big issue we tend to see here is that far too often people are focusing on this tail end of this endeavor and they’re working in that isolated pocket. So, we’re always strongly recommending now to address this. Make sure you engage with everybody who’s involved in these upfront processes and make sure they’re capturing the right data from the outset. Next, what else do we recommend and what do we typically see is that well, we recommend you understand the criteria. So, tied to roles and responsibilities, we would really strongly recommend that you know in your program what are the business functions that are supporting it. Uh what visibility you need in order to drive that program. How will we get engaged with audit for improvements and also ownership most importantly at the bottom left there? How do we get ownership from the business and the various vested parties to drive that third party piece and that lends itself to thinking about who are the various participants in this program and I’ve alluded to it already but the fact is there are multiple parties involved procurement legal risk operations and audit and they all play a meaningful part in that process. The best third party programs we’ve seen have got all of those parties involved, interested, and collaborative and communicative in how they want to engage this. As much as they might have their own piece and objective as if they’re able to work together and see the fact that each relevant party has some contributing factor and need uh then it works out best. And we see that function quite well with things like uh operations and governance committees that can meet on a monthly basis, steering committees uh that would drive that third party program with representatives from all of these so that people can support one another. So the information collection mechanisms used can support obviously the risk assessment components help operations with looking at supply chain downstream looking at SLA and performance management and so on. So everybody can get some some value out of the program and should be working together. So moving on to uh specifically roles and responsibilities Joe is there any particular uh challenges or issues or good practice you want to share?

Joe Tolley: Sí. Claro, Alastair. Muchas gracias. Una de las cosas más comunes que se podrían considerar como la base para crear un programa es la falta de un manual de operaciones actualizado que sirva de apoyo al programa. Se trataría de un manual con los procesos clave, las funciones y responsabilidades clave y las tareas necesarias para llevar adelante el programa. Lo que solemos encontrar es que o bien no existe un manual de operaciones o bien se diseñó el primer día y no se ha mantenido a lo largo del tiempo. Por lo tanto, es muy recomendable tomar una decisión consciente o establecer un punto de control periódico para crear un manual de operaciones. Asegúrate de que haya responsables de cada uno de los elementos que componen el manual de operaciones, para que podamos garantizar que se mantenga actualizado con el tiempo. No solo sirve como guía de referencia para desarrollar el programa en el futuro, sino que, para cualquier persona nueva que se incorpore al programa, servirá como manual de instrucciones o guía de procesos para desarrollarlo con el tiempo.

Alastair Parr: Estupendo. Gracias, Jay. Joe Tolley: De nada. Alastair Parr: Solo para reiterar los puntos sobre eso. Básicamente, buscamos trabajar de forma colaborativa. No queremos que la gente trabaje de forma aislada, y esos equipos comprometidos y los esfuerzos colaborativos son realmente clave para abordar algunos de los retos comunes que vemos allí. Lo siguiente en nuestro recorrido por el ciclo de vida de los terceros son los KPI y KRIS del programa. Es decir, los indicadores y los indicadores de rendimiento que esperamos ver en las mediciones de un programa exitoso, sea cual sea. Y esto es algo desafortunado. A pesar de ser un área tan importante, a menudo se pasa por alto cuando analizamos los programas de terceros. La gente está tan obsesionada y paralizada con la posibilidad de realizar evaluaciones y habilitar la supervisión Y, teniendo en cuenta la magnitud de lo que están analizando, no tienen en cuenta la profundidad y el contexto de la información que están recopilando. Y eso es bastante natural como ser humano cuando empiezas a ver, ya sabes, cifras de miles, decenas de miles, etc., porque es muy difícil empezar a procesar ese volumen de datos. Así que lo que vemos es que la gente utiliza los volúmenes y dice: «Oh, he realizado 5000 evaluaciones este año. He habilitado la supervisión de 40 000 proveedores, etc.». Y eso suena genial de forma aislada, pero cuando te das cuenta de que tienes 150 000 proveedores en tu patrimonio, en realidad no es tan bueno. Así que están utilizando el valor de la cobertura como factor de éxito. Es un factor importante, pero hay muchos otros factores que contribuyen a ello. Estamos viendo que mucha gente no consigue asociar los resultados y los objetivos con los recursos disponibles. Se trata, en realidad, de hacer que el programa sea viable. Si solo fuéramos el pobre Joe y yo dirigiendo un programa de terceros para 150 000, probablemente no tendría mucho éxito y tendría que moderar mis expectativas respecto a mis compañeros, la comunidad y la empresa para reflejarlo. A menudo, la gente se compromete a más de lo que puede cumplir. A continuación, muchos no planifican la tolerancia al riesgo por adelantado. Para gestionar parte de eso, no están considerando: «Bueno, ¿cuál es el apetito de riesgo proporcional que podemos aceptar en función de nuestra capacidad para impulsar el riesgo?». No puedo decir simplemente que todos los problemas que encuentro deben solucionarse, porque es insostenible. Y, por último, y esto es muy frecuente, por desgracia, muchos sobreestiman la voluntad de contribuir de terceros. Ahora bien, si se activa la supervisión pasiva, por ejemplo, eso es estupendo. Es un indicador. Es una buena información. Pero, eh, para profundizar en los entresijos de los terceros, es necesario involucrarlos, realizar evaluaciones, etc. E invariablemente, bueno, por lo general invariablemente, no son especialmente receptivos a la hora de darte información una vez que han recibido tu dinero. Así que, al ver estos objetivos engañosos y poco realistas, es muy fácil limitarse a mirar esa imagen, ese valor nominal, y asumir que todo es caótico, descoordinado y desorganizado. Pero eso suele estar controlado por los límites del programa que has creado. Si tienes una cuesta con una pendiente del 45 % y estás rodando queso y bajando corriendo, es normal que haya un poco de caos. Si ha establecido un buen conjunto de parámetros para usted mismo, le irá mucho mejor. Entonces, ¿cuáles son los factores que debemos tener en cuenta para demostrar un buen progreso? En primer lugar, las evaluaciones de madurez específicamente. Joe, esperaba que pudiera darme una idea de lo que espera ver en una buena evaluación de madurez.

Joe Tolley: Claro. Somos grandes defensores de las evaluaciones de madurez. Creemos que las organizaciones no las realizan con la frecuencia suficiente. Recomendamos llevarlas a cabo trimestralmente, ya que sirven como una oportunidad formal para tomar distancia del programa, analizar los componentes clave que lo conforman, ayudar a su desarrollo y evaluar el rendimiento de cada una de estas áreas. El enfoque que utilizamos aprovecha el modelo de madurez de capacidades y lo que realmente hacemos es identificar cuáles son los aspectos clave y luego evaluar cada uno de esos componentes de forma muy detallada con los equipos que realmente ejecutan o gestionan cada uno de ellos. Por ejemplo, lo que cabría esperar ver aquí es examinar la cobertura o el alcance de su programa de terceros. ¿Cuántos terceros se están evaluando realmente? ¿Cómo son las deficiencias? A continuación, pasamos a aspectos como el contenido que se está aprovechando. ¿Se basa en un estándar del sector? ¿Es de calidad suficiente? ¿Captura los datos que necesita? A continuación, profundizamos más en el aspecto operativo. Analizamos las funciones y responsabilidades, examinamos el manual de operaciones que he mencionado hace un momento, analizamos las medidas correctivas y, por supuesto, las métricas que respaldan el programa. Por lo tanto, si planeas realizar este ejercicio trimestralmente, te asegurará que mantienes un registro de dónde están estas debilidades, así como de las cosas que estás haciendo bien. Y luego, por supuesto, vas a asociar cierta responsabilidad al desarrollo real de esas áreas clave. Lo realmente valioso de realizar este tipo de ejercicios, si se dispone de algún tipo de métricas como resultado de una evaluación de madurez, como se puede ver allí con el enfoque de los cinco pilares, es que puede ayudar a identificar dónde están las debilidades. Por supuesto, se pueden ver cuáles son las deficiencias más importantes que se han obtenido de ese ejercicio, pero también se pueden demostrar algunos de los éxitos que se están logrando trimestre tras trimestre. Si implementa o realiza un esfuerzo consciente y un proyecto para mejorar ciertas áreas, a menudo es bueno poder demostrar a la empresa que los recursos que ha destinado a mejorar el contenido están teniendo un impacto positivo en el programa. Y puede demostrarlo viendo cómo aumenta la puntuación de madurez con el tiempo.

Alastair Parr: Gracias, Joe. También nos ha llegado una pregunta. Me pregunto si podrías responderla, que es: ¿quién estaría en la mejor posición para realizar la evaluación de madurez dentro de la empresa? Joe Tolley: Sí, muy buena pregunta. Normalmente, lo que nos gusta ver es un responsable del programa, es decir, alguien que se encargue de gestionar la responsabilidad general del programa. Pero a menudo no es así, ya que no suelen tener conocimiento de todas estas áreas por separado, por lo que es importante asociar a los representantes adecuados con los aspectos correctos que se están evaluando. Así que, si tienes a alguien que se ha encargado del contenido y es responsable de revisar los cuestionarios que envías trimestralmente, obviamente es la persona más indicada para examinarlo con más detalle. Por lo tanto, aunque tengas a alguien que sea responsable general del programa, creemos que es necesario que haya un comité específico que se encargue de responder a esto de la forma más precisa posible. Alastair Parr: De acuerdo, gracias, Joe. Y para secundar ese punto, si no dispone de los recursos pertinentes, háganoslo saber, ya que también ofrecemos evaluaciones de madurez gratuitas, de modo que, más allá de la evaluación de madurez, una vez que haya realizado dicha evaluación, comprenderá bien lo queestán tratando de lograr en estos diversos pilares: cobertura, contenido, funciones y responsabilidades, corrección y gobernanza, entonces pueden empezar a examinar los indicadores clave de rendimiento (KPI) del programa en sí. Por ejemplo, los mecanismos comunes que solemos considerar y que no pueden examinarse de forma aislada si nos fijamos en los flujos de trabajo de evaluación, por ejemplo, empezando por la derecha, el porcentaje de cobertura de los activos de terceros, como mencioné al principio, si he hecho 5000 de 150 000, 5000 suena muy bien, pero como porcentaje puedo ver que en realidad no es tan aceptable como esperaba. Las tasas de respuesta de la evaluación, así que si estoy haciendo evaluaciones o si estoy habilitando la supervisión, ¿qué tipo de éxito estoy obteniendo realmente? Se ha logrado un x %, he obtenido respuestas para, etc. Y esa es una métrica importante porque ayuda a comprender qué funciona y qué no. Uno de los problemas comunes que vemos es que la gente asume ciegamente que el proceso que crearon el primer día es eficaz, cuando la realidad es que necesitan ajustar y modificar su metodología para conseguir que las empresas respondan, que los terceros respondan, etc. Y luego pasamos a la gestión de riesgos propiamente dicha. Es decir, los objetivos de riesgo o reducción mensuales. ¿En qué medida queremos reducir los valores de riesgo? ¿Qué consideramos bueno para nosotros y qué se ha gestionado realmente a un nivel aceptable? Hablo de tolerancias al riesgo, umbrales de riesgo. Algo que no vemos a menudo es que la gente marque una línea definitiva y diga que aceptan riesgos por debajo de ese valor. Los que estáis en la llamada y sois profesionales de la gestión de riesgos, sabéis que el riesgo es absoluto. Siempre va a haber algún riesgo o algo parecido y no se puede mitigar absolutamente todo. Teniendo esto en cuenta, la empresa debería hacer una declaración definitiva sobre cuál es el nivel de riesgo tolerable y, del mismo modo, se pueden definir aspectos como los controles clave y las cosas que son absolutamente inaceptables. Es decir, los aspectos en los que realmente se debería centrar la atención como ámbitos de riesgo. Por supuesto, estas métricas deberían respaldar los KPI de bajo nivel. Además, también establecen las expectativas de la dirección sobre lo que se considera bueno. Son buenas medidas y puntos de seguimiento para sus programas.

Alastair Parr: Pero Joe, me gustaría que me lo aclararas. ¿Cómo se traduce esto en un proceso, un buen proceso de terceros? Joe Tolley: Sí. Problema. Tenemos este diagrama del ciclo de vida que puedes ver a la derecha. La principal ventaja de presentar la información de esta manera es que vemos que los programas de terceros son algo que hay que revisar a menudo. Hay cosas que hay que mejorar y optimizar con el tiempo. Eh, y como dije antes, esto es algo que suele ser un punto débil en muchas organizaciones. Tienen algo en marcha desde el primer día. Eh, pero luego no establecen sesiones de revisión ni formas de mejorar y revisar realmente lo que están haciendo para apoyar el programa. Así que se trata de examinar ese ciclo de vida y asegurarse de que se toman decisiones conscientes para mejorar las cosas con el tiempo. Como dijo Alastair, en cuanto al alcance, si se evalúa un 5 % de los activos de terceros el primer día, los procesos para respaldarlo pueden ser bastante básicos. Se dispone de recursos suficientes para gestionarlos. A medida que se amplía ese alcance con el tiempo, es cuando hay que empezar a revisar algunos de esos procesos y ver cómo se pueden mejorar para asegurarse de que se puede atender a un alcance adicional o a cambios en el alcance con el tiempo.

Alastair Parr: Gracias, Joe. Y aquellos de ustedes que tengan buen ojo habrán notado que Joe es director de programas, no director de proyectos, precisamente porque se trata de un ciclo iterativo y repetible. No es un ejercicio puntual cuando se empieza a analizar un programa de terceros. Por eso verán que hablamos constantemente de programas de terceros, como suele hacerse en este ámbito. Se trata de un ciclo de vida que debe ser podado, ajustado y modificado con el tiempo para convertirse en algo mejorado. Así que, a continuación, vamos a empezar a analizar lo que hemos definido como nuestros KPI, KISS, hemos establecido las bases y métricas del programa y ahora vamos a analizar nuestro patrimonio de terceros, su alcance y sus prioridades. Y cuando empezamos a analizarlo, realmente se convierte en un problema de escala que estamos tratando de abordar y vemos el problema común aquí con la escala, que es que demasiadas personas no tienen suficientes datos significativos. Ahora bien, esto no es necesariamente culpa suya, sino que está relacionado con procesos empresariales malos, técnicamente malos, a lo largo del tiempo. Por lo tanto, es posible que no dispongan de la información del proceso de incorporación que les permita saber qué datos están disponibles. ¿Simplemente tenemos que gastar en terceros? ¿Sabemos lo que están haciendo? ¿Sabemos quién es el propietario del negocio? Etc. Y los datos están ahí para poder tomar esas decisiones significativas. Ahora se puede intentar solucionar eso de forma retroactiva, pero es una tarea bastante enorme cuando se empiezan a examinar programas de terceros a gran escala y, además, la gente tiende a no entender realmente el contexto empresarial. Por lo tanto, tomarán decisiones basadas en aspectos como el gasto total y el servicio básico que prestan. En realidad, no tienen muy en cuenta qué es lo que realmente hacen por nosotros como terceros. ¿Qué línea de negocio o servicio están apoyando realmente? Y, finalmente, muchos se comprometen a más de lo que pueden cumplir. Lo que queremos decir con esto es que se lanzan con optimismo al proceso de priorización y perfilado y dicen: «Normalmente, tomemos un modelo de niveles del uno al tres, siendo el nivel uno el más crítico y el nivel tres el menos crítico, y distribuiremos las cosas en consecuencia». Pueden intentar aplicar una regla del 80/20, por ejemplo, para que los niveles uno sean el 20 %. Pero no se tiene en cuenta la proporcionalidad. Si solo Joe y yo dirigimos el programa, probablemente eso no sea realista para los volúmenes. El hecho es que o bien tenemos que moderar la priorización para reflejar los recursos de la empresa, o bien tenemos que gritar y chillar para conseguir recursos adicionales, sean cuales sean, para poder cumplir los objetivos y metas de la empresa. Por lo tanto, algo que hacemos y vemos con bastante frecuencia es que, al principio, la gente dedica tiempo a calcular los recursos para comprender, en función de los recursos de los que dispone, es decir, las personas, las tecnologías, etc., qué es lo que realmente puede procesar y lograr, y lo incorpora a sus metodologías de priorización y tarado. Por lo tanto, al abordar este problema de escala, obviamente surge la pregunta de cómo podemos hacerlo de forma eficaz como seres humanos. Es bastante problemático. No estamos diseñados para procesar realmente la escala. Pero hay un par de formas que vemos que pueden ayudar y abordar esto. Y uno de los primeros puntos que normalmente consideraríamos es: ¿qué está realmente dentro del alcance? ¿Qué es un tercero? Y es una pregunta fundamental que nos gustaría pensar que la gente se ha planteado desde el principio, pero en realidad, a menudo vemos que la gente tiene una idea preconcebida de lo que es un tercero cuando se incorpora a sus programas. Pero cuando se analiza realmente qué es un tercero, se ve que es un término más amplio que el de proveedor. Es un término más amplio que el de suministrador, y lo es intencionadamente, porque un tercero es realmente cualquier cosa que pueda apoyar al negocio. Pueden ser contratistas, proveedores de servicios, sistemas y activos que lo ayuden. Y lo mismo ocurre con las personas que tienen acceso a su sitio y que podrían estar indirectamente vinculadas a un tercero, como un cuarto, por ejemplo. Así que, cuando realmente se comprende lo que se tiene en el ámbito de aplicación, es cuando surge la pregunta de cómo priorizarlo. Joe, ¿cómo ve que la gente tiene en cuenta estos diferentes factores a la hora de establecer prioridades?

Joe Tolley: Sí, claro. Creo que lo primero que realmente hay que implementar y mejorar en la mayoría de las organizaciones es el proceso de incorporación. No hay muchas organizaciones que recopilen por adelantado la información adecuada sobre un servicio que se presta, de modo que puedan identificar el impacto que un tercero podría tener en el negocio. Por lo tanto, analizar aspectos como el servicio que se presta será obviamente muy útil para poder clasificar e incluso informar sobre esa información. Pero también evaluar qué tipo de impacto habría si ese tercero fallara en el rendimiento o la prestación del servicio. ¿Dejaría de funcionar una unidad de negocio? ¿Se colapsarían los sistemas? Por lo tanto, plantear ese tipo de preguntas sobre cuál es el verdadero impacto de un tercero en el negocio va a ser realmente útil para priorizar quién debe ser evaluado primero, qué tipos de evaluaciones y qué tipo de contenido debe incluirse en ellas. Obviamente, es brillante asegurarse de que se mejore el proceso de incorporación inicial. Sin duda, esa es una deficiencia común. También hay que asegurarse de que los sistemas que ya se tienen implantados y que ya cuentan con información recopilada se revisen para identificar qué se puede aprovechar ahora para respaldar el programa. Así que, si no se ha aprovechado todo el beneficio histórico de contar con un proceso de incorporación adecuado, puede que haya formas de aprovechar la información que ya existe para poder identificar y establecer algún tipo de priorización de los terceros para su evaluación. Esto es algo que, por lo general, no se considera una tarea que merezca la pena realizar, debido al gran volumen que supone este tipo de actividad. Pero podría haber información aprovechable de equipos como el sistema de adquisiciones del equipo de compras. Podría haber información de compromisos anteriores con el RGPD o de terceros conocidos que, por ejemplo, requieren el cumplimiento de la normativa PCI. Y todo ello puede poner de relieve la información disponible para ayudar a identificar un método de priorización de proveedores o terceros a medida que los incorpora al programa.

Alastair Parr: Thank you very much, Joe. Now, we actually had a question come in which uh which ties into uh our next point, which is how should organizations consider beyond tier one of the supply chain for TPRM? Uh and it’s a very good question and quite often we tend to see success being in a as you expect a sort of a pyramid-esque model here. Um what we typically see and what we are recommending people do is that they start um aortioning the right quantity of effort that they can against uh the right third parties. So you can see here is a generic example. We’ve got say 15,000 vendors in our estate. Uh ap sorry 15,000 vendors in our estate that we want to try and manage of which say 4,000 are going to be subject to continuous monitoring because they’re prioritized. 2 and a half thousand would therefore get some form of risk remediation or assessments based on that. Uh 1500 assessments are distributed. 300 contextual assessments are done which is of an in-depth review of the assessment results. results uh 100 of those might be subject to additional validation exercises and then of those 20 might require on-site audits. So when you actually look at that in the entirety of it, you’ve created multiple tiing. So yes, you do have a tier one, tier two, tier three model where you might say assess the tier 3s on a every two three year basis. You might just use continuous monitoring against them etc. But the reality is you really need to start breaking down the tier ones as well to consider the level of effort you want to invest against each of those tier ones. So, some of those might need an on-site or remote audit. Some of them might need some contextual information shared with the business, for example. Uh, and that may extend beyond the tier ones as well. Now, tied to that question. So, if we’re actually looking at the tier 2s and the tier 3es, we appreciate that we might not do very much of them. We may just repeat this process on a slightly less frequent cadence. It’s all going to be tied again to the business resource. If if you’ve only got a small number of people to actually manage your third party estate, you may really never be able to do more or anything than tick a box or or try and do some very lightweight assessments against those third parties or be quite reactive in in how you’re engaging with them. But the best chance you’ve got is enforcing as part of the renewal process capturing information on that third party so you can make an effective decision about which tier they’re in and therefore what amount of effort you’re going to associate to those. So it can be an iterative process to start feeding them into this this broader life cycle and workflow. So onwards to assessment design and distribution. So we’ve tiered, we’ve profiled, we know who we want to engage with etc. And obviously a core foundational component of a third party program is assessments and continuous monitoring associated to that. And when we look at the the the noise that we see associated to a to a third party estate and managing them, we see some very common themes and issues. So firstly, we’re seeing that too many lack regular consistent assessment formats. Now this is simply a case that it may be while not a one-sizefits-all approach for assessments. You at least want to be consistent in the fragmented question sets that you’re asking them. So, you should always be asking about certain key controls. Uh certain domains might be only relevant for certain services, but you want to be consistent in how you structure those domains and capture the information. And those domains are beyond assessments. We’re talking about cyber monitoring, business monitoring, financial monitoring, ESG, etc. Uh too many of them are actually failing to consider the communication mechanisms, which is well, how do we actually engage with these third parties in a way that’s effective and at scale. Quite often they’re relying on an initial interaction and then realizing that 50% of the estate isn’t actually responding back. So they don’t know how to actually talk to the business uh their own business as much as the third parties. And then too many fail to ask contextual questions across a full profile. And what we mean by that is people are sending out say SIGs, HISAC assessments, PCs, their own proprietary assessments, whatever it may be. But what they’re not doing is actually asking the the the questions you’d expect. up front. So, we’d want to understand who are they, what are they doing, what do they need to do that, how are they doing it, etc. The information that helps feed and drive our decision-m process and also too many of them are simply failing to engage the business. Now, this is probably the most prolific issue we see when it comes to the assessment methodology, which is we are driving a third party program because these third parties are providing a service to the business. It’s not just Joe and I who are getting value out of these third parties. We’re not doing it for fun. Uh we’re doing it because the business has a need to do so and they’re essentially functioning as our customers in a third party program. So we need to engage with them, communicate with them and share the information around what a third party is doing and where necessary getting their involvement and buyin. So these are the stakeholders, the project sponsors, these are the uh relationship managers, the third party etc. They should be as part of that assessment process as possible. So we look at that sort of consistency and engagement. There also needs to be some form of structure. It can’t be some lovely freeforall for that sort of third party process or third party party. We need to make sure that we have consistency in that approach. So Joe, I was hoping you can give me a bit of insight into what you’re seeing as good practice and what some of the pitfalls and traps are related to uh way to to the assessment methodology of a third party program.

Joe Tolley: Sí, claro. Quiero decir que en los últimos años hemos visto muchas formas extrañas y maravillosas de evaluar a terceros con diferentes contenidos en los cuestionarios. Yo diría que probablemente el error más común es una forma ineficaz de recopilar datos para poder identificar los riesgos y trabajar con ellos de manera eficiente. Tener un conjunto de preguntas que, por ejemplo, sean respuestas de texto libre. Esto solo significa que se dedica más tiempo a interpretar los datos que se obtienen. En cuanto se abre la puerta a los cuestionarios de formato libre, además de dificultar la identificación de riesgos, cosas como la puntuación de riesgos también se vuelven inconsistentes. Hay diferentes representantes que analizan las respuestas de diferentes maneras. Esto hace que sea muy difícil elaborar un registro de riesgos preciso, estandarizado y coherente que la empresa pueda utilizar. Y, por supuesto, también hace que los informes sean inconsistentes. Por lo tanto, ordenar el contenido del cuestionario hasta el punto de que sea algo repetible, algo lo más binario posible para poder capturar campos estandarizados, por ejemplo, a los que luego se pueden asociar ponderaciones y puntuaciones de riesgo. Que, por supuesto, es probablemente lo más común, pero lo que aporta el mejor valor a la empresa. Una vez que se han definido esos riesgos y se han definido las ponderaciones de riesgo, se sabe que se convierte en un ejercicio estandarizado que también se puede llevar a cabo en la empresa. Se analizan los riesgos, se examinan las puntuaciones y se identifica lo que es aceptable dentro de la empresa desde el punto de vista de la remediación y lo que ocurre a continuación si alguien realmente genera un riesgo de una determinada puntuación. Por lo tanto, hay que asegurarse de que el enfoque del contenido sea lo más eficiente posible. Va a suponer una inversión de tiempo inicial para que sea tan detallado como sea necesario y tan binario como sea necesario, pero, obviamente, estás allanando el camino para un futuro eficiente con la gestión de ese contenido y las respuestas que obtienes.

Alastair Parr: Gracias, Joe. Estoy totalmente de acuerdo en que el trabajo previo, la preparación y la planificación de la fiesta marcan la diferencia en lo que ocurre después. Por poner algunos ejemplos de lo que estamos viendo al respecto, ¿qué tipo de contenido queremos empezar a ofrecer? Ahora vemos con más frecuencia, y normalmente se trata de un programa de terceros, como he mencionado, en el que intervienen varias partes yestamos viendo consideraciones en torno a la seguridad de la información, por lo que, por supuesto, los controles clave, los dominios clave, etc., la continuidad del negocio, la recuperación ante desastres, la resiliencia, especialmente en los últimos 18 meses, curiosamente, las obligaciones reglamentarias para cumplir con la normativa y la auditoría y los aspectos legales, y comprender bien cómo empezamos a tener en cuenta cosas como, ya sabes, las regulaciones de California, el RGPD, nuestras propias regulaciones locales, las regulaciones verticales, teniendo en cuenta los datos confidenciales. Así que ahora vemos que cada vez más gente tiene en cuenta aspectos como los escáneres de vulnerabilidad pasivos, por supuesto, los resultados de las pruebas de penetración y el acceso a los resúmenes ejecutivos de las pruebas de penetración, queahora son mucho más importantes, en lugar de limitarse a confiar en un informe SOC 2 o una declaración de aplicabilidad ISO 270001. La gente quiere obtener alguna validación al respecto y luego la idoneidad, por lo que componentes como la estabilidad financiera ESG, los controles éticos, la calidad y la sostenibilidad parecen estar cobrando cada vez más importancia en algunos de los programas de terceros que vemos. Así que, históricamente, veíamos un enfoque muy fuerte en el extremo izquierdo y lo que estamos viendo es que, con el paso del tiempo, la gente está evolucionando para empezar a tener en cuenta criterios de amenaza adicionales y luego la idoneidad en sus programas. Afortunadamente, podemos decir que, aunque se trata de un problema común, estamos viendo que la gente lo está abordando gradualmente, lo cual es tranquilizador. Ahora, una vez que consideramos algunos de los criterios que quiero examinar, tenemos que considerar cómo es el perfil de un proveedor. Si nos fijamos, por ejemplo, en los programas de terceros de nivel uno, nivel dos y nivel tres, puede que haya un subconjunto de estos que queramos cubrir para cada uno de ellos. Y, de nuevo, a menudo uno de los errores más comunes que vemos es que la gente se centra solo en las certificaciones o solo en las evaluaciones, y eso es peligroso.

Alastair Parr: Recomendamos tener en cuenta todos estos aspectos, ya que un error habitual en el que cae la gente es no considerar aspectos como el perfil financiero de forma aislada. Por ejemplo, no tienen en cuenta las calificaciones crediticias. No tienen en cuenta los eventos proactivos y el contexto empresarial que aportan información. Por ejemplo, estoy utilizando un servicio de alguien y veo que en tres meses va a ser adquirido. Por lo tanto, puedo esperar algunos cambios en su funcionamiento y operación. Son datos contextuales muy útiles que me ayudan a comprender bien qué está haciendo este tercero, contribuyen a su perfil y me permiten determinar cómo voy a gestionar su riesgo en última instancia. En la parte superior izquierda, vemos que cada vez más personas se ocupan de esto, pero es fundamentalmente uno de los mayores problemas del riesgo de terceros. Es la n-ésima parte. No tenemos los recursos para gestionar a los terceros. Entonces, ¿cómo vamos a llegar a los cuartos, quintos, sextos terceros y así sucesivamente? Y no hay una solución rápida y sencilla para ese obstáculo. Bueno, necesitamos recursos y tenemos que buscar formas inteligentes de conseguirlos. Por lo tanto, como mínimo, recomendamos que la gente haga preguntas. ¿Quiénes son las partes finales con las que se trata? ¿Por qué se recurre a ellas? Y, como mínimo, obtener el contexto para poder empezar a tomar algunas decisiones, si no se contacta con esas partes finales. Ahora, analizando parte de esa preparación previa, nos gustaría ver algunos de esos flujos de trabajo. Queremos asegurarnos de que hemos definido qué es lo que consideramos bueno, cuáles deben ser las calificaciones de riesgo, cuáles deben ser las preguntas de evaluación, qué tipo de supervisión vamos a habilitar y cuáles son los requisitos de remediación para la empresa y también para los terceros. Un buen programa aborda tres de las áreas clave que se indican al final. Por lo tanto, los puntos únicos de fallo siguen siendo un problema común, a menos que empiece a documentar sus medidas correctivas anteriores y lo que está tratando de hacer. Así que tendrá, por ejemplo, unos cuantos auditores o consultores que son expertos en la materia y confiará en ellos para que se ocupen de todo lo relacionado con este ámbito de riesgo. Eso está muy bien.

Alastair Parr: Pero cuando algún día se vayan y otra persona ocupe su lugar con una perspectiva y una tolerancia al riesgo completamente diferentes, eso se reflejará en los resultados que obtengas y tu programa, lo esperes o no, comenzará a desviarse y surgirán patrones. Por lo tanto, te recomendamos que documentes y seas coherente en la forma en que realizas el seguimiento de estos riesgos, evaluaciones y requisitos. Y luego intentar mitigar algunos de esos puntos de fallo. Respuestas. No recomendamos respuestas de sí o no. Recomendamos que tenga opciones, opciones claras y prescriptivas en torno a sus evaluaciones. Hemos visto que eso es más eficaz porque usted indica lo que necesitamos ver, en lugar de dejar que ellos interpreten directamente el conjunto de preguntas. También puede reducir considerablemente el conjunto de preguntas y luego definir las recomendaciones que he mencionado al principio. Y esta parte de las comunicaciones con terceros es un problema enorme que estamos viendo en el riesgo de terceros, que es que la gente envía evaluaciones relacionadas con el negocio, pero no tiene en cuenta algunos de los aspectos de marketing de esto, que es que estamos hablando con el negocio internamente, estamos interactuando, estamoshablamos externamente con proveedores externos, pero muy a menudo el momento, el tono y la fuente de esas comunicaciones no se tienen realmente en cuenta de antemano como parte del programa, por lo que una de las soluciones más rápidas que vemos para el problema de los resultados insuficientes de las evaluaciones, es decir, que la gente no responda a las evaluaciones, que la gente no se comprometa o que la propia empresa no se comprometa directamente, es tener en cuenta estos factores. Así que esta es a menudo una de las soluciones más sencillas que solemos ver cuando nos ocupamos de un programa. Por lo tanto, debemos comprender bien cómo debemos interactuar con la empresa. No solo cuándo, sino también con qué frecuencia. Debemos comprender el tono. Entonces, ¿cómo nos comunicamos de manera que obtengamos algunos resultados de la empresa? Y también, ¿de quién debe provenir esa voz? ¿Del CISO? ¿Del CIO? ¿Del gerente de seguridad de la información? ¿De los propios gerentes de representación comercial?

Alastair Parr: Sabéis que hay diferentes aspectos del negocio que pueden influir en esto y conseguir su aceptación para que la gente reaccione. Eso puede llegar incluso al punto de involucrar a los departamentos de compras y jurídico en los inconvenientes de los terceros. Así que una de las conclusiones clave que sacamos de la sesión es que hay que tener en cuenta las comunicaciones con terceros. De hecho, podemos aprender mucho de algunos de los equipos de marketing de nuestras respectivas empresas para comprender qué es eficaz y qué no lo es. A partir de ahora, tenemos esta gran cantidad de datos. Lo estamos haciendo fantásticamente bien. Tengo cien riesgos por cada uno de mis 10 000 proveedores que he evaluado y supervisado, y ahora me encuentro ante ese océano sin saber muy bien qué hacer. Así que uno de los grandes problemas que vemos a la hora de remediarlo y hacer un seguimiento es que uno de los mayores problemas iniciales son los requisitos y los impulsores mal definidos. Son demasiados los que no informan a los terceros por adelantado sobre lo que se considera bueno. ¿Qué esperamos realmente de ellos? Buscan orientación sobre el mínimo esfuerzo que pueden invertir para satisfacerle, y nosotros tenemos que darles algunas pautas y objetivos para ello. Por lo tanto, recomendamos que se ofrezca orientación sobre la corrección por adelantado para agilizar ese proceso. Lo ideal sería incluso proporcionarles contenido que puedan reutilizar y reutilizar, siempre y cuando lo utilicen de forma eficaz. Además, son demasiadas las personas que no logran trasladar ese problema a los propios terceros. Asumen la responsabilidad de impulsar el tema, actuando como auditores, cuando en realidad queremos dotar a los terceros de los medios necesarios para que gestionen directamente el proceso de corrección de riesgos. De lo contrario, nos quedamos atascados con cientos o millones, cientos de miles o millones de riesgos y problemas que podemos rastrear y nos quedamos paralizados al no poder hacer nada al respecto. Por lo tanto, si se analizan los problemas fundamentales que rodean esta cuestión, a menudo se trata de un problema de escala.

Alastair Parr: Se trata de que hay muchas partes y participantes que quieren hacer lo mínimo indispensable porque desean seguir obteniendo los ingresos que obtienen de usted por prestar un servicio y no quieren invertir esfuerzos innecesarios en hacerlo. Y más allá de eso, tenemos que conseguir que lo hagan de una manera eficaz y que puedan demostrar que estamos cumpliendo nuestros KPI y KIS. Y cuando lo miras de esa manera, te das cuenta de que básicamente estás haciendo daño a muchos gatos, a la propiedad de terceros, lo cual es problemático. Y cualquiera de vosotros que haya intentado hacer daño a los gatos, se da cuenta de que se necesita una combinación de habilidad y suerte. Pero hay algunas cosas que observamos y tenemos en cuenta cuando empezamos a analizar cómo podría ser ese proceso. En primer lugar, esta es una diapositiva abrumadora, por lo que la he precedido con una bonita imagen brillante. La razón por la que es abrumadora es porque se trata de un ejemplo de flujo de trabajo de cómo podría ser un buen programa. Como ven, hay múltiples puntos de control, múltiples criterios involucrados y múltiples etapas y pasos. Pero cuando lo desglosamos y lo reducimos a sus niveles más básicos, se trata de pasar por esos hitos, comprender cuánto esfuerzo debemos dedicar y, luego, cuando lleguemos a la zona adecuada, detenernos. No hagamos más de lo necesario. Ya tenemos los datos. ¿Necesitamos seguir adelante? ¿Necesitamos invertir más recursos, etc.? Este proceso de corrección, seguimiento y gestión consiste en invertir la mínima cantidad de recursos posible para obtener los resultados más eficaces. Vemos cómo la gente se paraliza por el perfeccionismo, tratando de asegurarse de que todo y todos los proveedores estén gestionados al máximo. Y en la gran mayoría de los casos eso no es necesario. La cuestión es que habrá hitos y puntos de control a lo largo de ese proceso de remediación en los que se puede parar y pasar al siguiente. Por supuesto, eso también se extiende al programa de terceros en general, en el que la perfección no debe ser el objetivo final. Así que, analizando el proceso de remediación en sí, Joe, ¿tienes alguna orientación o idea sobre cómo podemos impulsar la remediación de riesgos de forma eficaz?

Joe Tolley: Sí, hay muchas ideas al respecto. Principalmente, se trata de definir la lógica por adelantado para respaldar este tipo de procesos. Como has dicho, Alastair, podría haber decenas de miles de riesgos que analizar. Por lo tanto, será fundamental identificar una forma de priorizarlos. Una de las mejores inversiones de tiempo que se me ocurren es revisar el contenido real de la encuesta y partir de ahí para iniciar este proceso. Así, al examinar los cuestionarios, las preguntas que hacemos y las respuestas disponibles, podríamos predeterminar lo que debería suceder a continuación si un tercero responde de una determinada manera. Por lo tanto, si preguntamos si un tercero tiene una política de información y responde que no, ya sabemos cuál podría ser el resultado. Así que tal vez podríamos invertir algo de tiempo en decidir internamente qué debemos hacer si alguien responde de esa manera. Obviamente, una política de infosc debería ser bastante importante. Por lo tanto, deberíamos establecer de antemano algunas directrices básicas sobre cómo nuestro equipo de remediación debería interactuar con el tercero, qué deberían decir y cuáles son las expectativas que se tienen de ellos. Quizás sea necesario que se establezca una política de infosc en un plazo de tres meses y que esta contenga X, Y y Z. Así que, utilizando el contenido del cuestionario y algunos de los controles clave que contiene, ya podemos identificar cuáles podrían ser los siguientes pasos y definir una especie de manual sobre cómo abordar la revisión de las respuestas y gestionar los riesgos que se derivan de ellas. Una ventaja real de hacerlo es que no tenemos que recurrir a expertos en remediación de riesgos si tenemos esta información definida de antemano. Así, si hay escasez de recursos y no podemos gestionar todos los riesgos mes a mes, si realizamos este tipo de ejercicio para definir nuestra lógica «si esto, entonces aquello», podríamos contar con otra persona de nuestro equipo de analistas para revisar esos riesgos y ser la primera línea, la primera persona en interactuar con el tercero para ayudar a resolver algunos de esos riesgos. Así que podemos hacer que el proceso sea mucho más eficiente invirtiendo tiempo en examinar las preguntas, las respuestas y cómo debemos actuar si alguien responde de una determinada manera. De acuerdo. Sí. Si nos fijamos en la priorización, lo que realmente tenemos que hacer, de nuevo, partiendo del cuestionario, es examinar cuáles son los controles clave reales que debemos cumplir en nuestro proceso de remediación. ¿Existe un conjunto específico de riesgos o preguntas que deben tenerse en cuenta si se trata de un tercero de nivel uno, por ejemplo, o de un proveedor? Y, de hecho, identificar qué es lo que nos parece adecuado, cuál es nuestra base para seguir adelante con un proveedor. Si invertimos tiempo en definir cuáles son esos parámetros, entonces, por supuesto, estaremos mucho mejor equipados con las herramientas adecuadas para poder colaborar con un tercero, mantener una conversación muy eficiente con él, establecer unos objetivos claros sobre cuándo hay que entregar las cosas para, en realidad, avanzar con un proveedor y seguir adelante con él. Y, bueno, porque también tenemos experiencia en analizar estos riesgos y definir cuáles son las expectativas. También podemos gestionar el nivel de esfuerzo que esperamos de terceros para que nos apoyen a medida que avanzamos a través de estos riesgos.

Alastair Parr: Gracias, Joe. Veo que nos han llegado varias preguntas. Intentaremos responder a algunas más en la sección de preguntas y respuestas, pero hay una que voy a destacar porque es especialmente relevante para este tema: ¿cómo se puede ofrecer orientación para la remediación y evitar responsabilidades si la orientación falla? ¿Se refiere a ofrecer orientación general sin entrar en planes de acción específicos? Es una pregunta muy buena, porque existe un delicado equilibrio entre aconsejarles que implementen medidas y, por supuesto, asumir cierto grado de responsabilidad asociado a ello, pero usted actúa como asesor. No estás eliminando su obligación y compromiso de aplicar buenas prácticas y de contar con sus propios mecanismos internos de auditoría y cumplimiento. De lo que estamos hablando es de darles algunas pautas generales y una idea de lo que son las buenas prácticas. Por lo tanto, recomendamos decirles que esto es lo que esperamos ver y que luego te presenten un esquema de cómo lo aplicarán en su empresa. No va a ser una solución única para todos. No va a ser una solución única para todos en ese sentido. Va a ser una situación en la que, ya sabes, ellos tienen que volver a ti con un plan de ataque y luego, lamentablemente, como especialista en riesgos y cumplimiento, tienes que tomar una decisión informada sobre si eso está dentro de tu tolerancia al riesgo o no. Darías por sentado y dejarías claro desde el principio que, por supuesto, no aceptas ninguna responsabilidad asociada a eso. Buena pregunta. Antes de pasar a otras preguntas, volvamos al principio, cuando analizamos los flujos de trabajo de terceros en sí mismos y el ciclo de vida de terceros, y lo que hemos profundizado hoy. Por supuesto, hay múltiples elementos dentro de ese recorrido dentro del programa de terceros. Y, como pueden ver, muchos de ellos comienzan con ejercicios previos. Ahora bien, si están adoptando un programa de terceros o heredando uno, es posible que haya algunas malas prácticas descritas desde el principio. No se sienta así si está en su negocio. No sienta que tiene que adoptarlas y le recomendamos encarecidamente que dedique tiempo a profundizar en ellas, a involucrarse en el negocio, a ver si son necesarias y, si es posible, a adaptarlas y ajustarlas. Muy a menudo, cuando vemos que estos programas fracasan, es porque se basan en fundamentos algo inestables de sus predecesores. Por lo tanto, hay que planificar mucho por adelantado y se trata de optimizar, ajustar y recortar con el tiempo para que sea eficaz. Ahora, en la parte izquierda, la estandarización y la evaluación comparativa de cuándo estamos realmente procesando grandes volúmenes de datos. Por supuesto, se puede utilizar el aprendizaje automático, la inteligencia artificial, etc. para ayudar a respaldar eso. Pero siempre hay un factor humano. Habrá un contexto en la forma en que interactuamos con terceros. Habrá un contexto en nuestros requisitos y procesos de toma de decisiones que determinará cómo impulsamos ese proceso de remediación y cómo nos comprometemos y medimos el éxito. Por lo tanto, si vamos a resumir y destilar cuáles son las buenas prácticas en este sentido y qué hay que evitar, no trabajen sobre bases deficientes. Conviértanlo en un programa. Hagan que sea repetible. Asegúrate de que dispones de los mecanismos necesarios para tener éxito. Así que asegúrate de que tus esfuerzos y objetivos sean proporcionales a la cantidad de recursos de los que dispones y dedica tiempo a planificar por adelantado para que puedas hacerlo repetible, coherente, capturar el contexto y comprometerte con el negocio. Antes de pasar a la ronda de preguntas y respuestas, Joe, ¿hay algo más que quieras añadir?

Joe Tolley: Justo en ese punto, Alastair, creo que es, bueno, ya sabes, un punto realmente bueno por donde empezar si estás pensando en, bueno, por dónde empezar a avanzar y optimizar un programa, especialmente si has heredado algo. Y sin duda recomendaría toda la fase de la que hemos hablado sobre la evaluación de la madurez, es decir, la revisión de cada uno de los componentes que conforman un programa saludable, para que puedas identificar dónde están las posibles debilidades. Puede que descubras algunos aspectos fundamentales que se pueden solucionar de forma fácil y rápida, pero que, obviamente, mejoran la eficiencia del programa en su conjunto. Lo sabes muy bien. Así que sin duda recomendaría echar un vistazo primero a ese tipo de compromiso o ejercicio, porque creo que debería identificar algunos elementos claros que podrían revisarse y, como he dicho, algunos beneficios rápidos.

Alastair Parr: Gracias, Joe. Veo que están llegando muchas preguntas. Así que pasaremos a la sesión de preguntas y respuestas durante los próximos minutos. Amy Tweed: Muy bien, vuelvo a conectarme. Antes de pasar a las preguntas, voy a darles un descanso a Alastair y Joe para que puedan beber un poco de agua y tomar aire. Pero ha sido una presentación realmente estupenda. Me ha encantado especialmente la imagen de los gatos. Ha sido increíble. Una imagen genial. Voy a hacer una encuesta rápida por si alguno de vosotros tiene que marcharse antes. Como hemos mencionado, estamos aquí para ayudar. Así que si estáis pensando en ampliar o establecer un programa de riesgos de terceros este año, o quizá a principios del próximo, hacédnoslo saber: sí, no, no estoy seguro. Estamos aquí para ayudar. También pueden enviarnos un correo electrónico a [email protected] si buscan a alguien con quien hablar. Vamos a abrir un turno de preguntas y respuestas. Veo que tenemos algunas preguntas. Dejaré la encuesta abierta un momento. Si tienen alguna otra pregunta ahora que estamos terminando, por favor, tómense un momento para plantearla. Esta es una muy buena oportunidad para que todas sus preguntas sean respondidas. Entonces, Alastair Joe, las leeré para usted si le parece bien y, eh, partiremos de ahí. Muy bien, estamos listos para comenzar. De acuerdo. Una de las primeras preguntas que veo aquí es: ¿ve situaciones en las que los resultados de la gestión de riesgos de terceros son tales que una organización decide internalizar las actividades?

Alastair Parr: Sí. Bueno, esa es una pregunta muy interesante porque, a menudo, cuando hablas con la empresa, te dicen: «No, lo necesitamos. No hay alternativa. Tenemos que seguir adelante y aceptar todos los riesgos y responsabilidades asociados a este tercero». Por lo tanto, es un reto porque intentas convencer a la empresa, que obviamente tiene un interés particular en incorporar a ese tercero, de que puede haber retos asociados. Y, realmente, sí, vemos situaciones así. Dependerá realmente del interés de la organización. Muchas empresas, por supuesto, prefieren internalizar antes que externalizar. Pero vemos situaciones en las que, cuando es posible, se pueden aportar recursos para satisfacer la misma demanda. El reto, por supuesto, y la razón por la que mucha gente opta por terceros es que son especialistas, o deberían serlo, en su campo y te gustaría pensar que van a ser más eficientes y, posiblemente, mejores en lo que hacen, porque se dedican a ello día tras día. Sin embargo, nos resulta difícil encontrar una situación en la que se pueda decir que no a la empresa, y ese es el factor más importante a la hora de decidir si se va a internalizar o no. Por lo tanto, dependerá en gran medida de la tolerancia de su empresa y de las relaciones que tenga con el resto de su negocio.

Amy Tweed: Entendido. Gracias por la pregunta. Muy bien, continuemos. ¿Cuál es la diferencia entre la evaluación contextual y la evaluación a través de los dominios PCF? Alastair Parr: Ah, ahí hay alguien con muy buen ojo. Básicamente, una evaluación contextual consiste en analizar quién, qué, dónde, por qué y cómo en relación con ese tercero. ¿Quiénes son? ¿Qué hacen? ¿Cómo le están apoyando? En realidad, no se trata de preguntas basadas en el dominio de riesgo. Preguntas o dominios asociados. Se trata más bien de eso y no hay respuestas correctas o incorrectas. Solo nos proporciona información suficiente para hacernos una idea de quiénes son, qué hacen y cómo debemos abordarlos. Por eso nos centramos en la evaluación contextual y podemos utilizar esos datos para correlacionarlos con los distintos ámbitos de riesgo que analizamos. Así que, dependiendo de su interpretación, el PCF será a menudo el marco de políticas y controles que usted está analizando. Así que, analizando los distintos controles del negocio, los procesos, las políticas, y luego correlacionando los dos, ¿qué contexto, qué están haciendo por nosotros? ¿Significa eso que realmente tengo que preocuparme por algo? Por ejemplo, si limpian las peceras de la recepción, pero nunca entran en el negocio, probablemente no le preocupe mucho su seguridad física en las oficinas. Por lo tanto, el contexto es la clave.

Amy Tweed: Genial. Gracias por la pregunta. Bueno, sí, tenemos un par más aquí. Sé que nos estamos acercando al final de la hora, quedan unos seis minutos más. Así que, si tienen preguntas, háganlas ahora. Um, algunos expertos las responderán, lo cual es estupendo. La siguiente pregunta es: si una empresa se encuentra en el nivel de madurez dos, ¿cuánto tiempo tarda en llegar al A4? Alastair Parr: Es una pregunta muy buena. Joe, tú eres nuestro experto residente en evaluaciones de madurez. Joe Tolley: Sí, claro. No hay problema. Sí, es una buena pregunta. Um, es difícil de decir. Um, por haber realizado estas evaluaciones de madurez, ya sabes, hasta la fecha, um, podría ser que estés en un nivel dos saludable y sabes que esforzarse por llegar al cuatro es algo realmente um, ya sabes, óptimo. Um, o podría ser que tengas que una organización ya tiene un programa maduro, pero le faltan algunas cosas del nivel básico, por lo que el nivel de madurez ha bajado bastante. Diría que es difícil ponerle un plazo, pero diría que en 12 meses deberías poder madurar al menos un nivel. Pero todo esto dependerá del número de elementos que contribuyan a ese aumento y, obviamente, de los recursos de los que dispongas para apoyar ese tipo de ejercicios. La evaluación de madurez que realizamos da como resultado una bonita lista binaria de elementos con algunos niveles estimados de esfuerzo para cada uno de ellos. Por lo tanto, podría ser una buena idea participar en ese tipo de evaluación de madurez para que puedas ver el tipo de cosas que buscamos y que contribuyen al aumento del nivel de madurez. Y, por supuesto, entonces podríamos darte algunos detalles bastante precisos sobre cuánto tiempo esperamos que una organización bastante madura pueda llegar a ese nivel.

Amy Tweed: Genial. Gracias, Joe. Muy bien, nos han llegado un par de preguntas más. Entonces, lo siguiente que mencionaste fue la comunicación con la empresa. Eh... esta persona está de acuerdo, pero ¿qué nivel de detalle proporcionas a las partes interesadas de tu empresa para que puedan tomar una decisión informada?

Alastair Parr: Sí. Es un punto complicado porque, en cierto modo, confían en ti como experto en la materia. A menudo, lo que vemos es que el equipo de gestión de riesgos externo proporciona información y orientación fundamentada al propietario de la empresa y luego le pide que acepte o rechace y les pase los propietarios, lo cual es un poco injusto porque ellos no son expertos en la materia. El equipo del programa de terceros debería ofrecer una orientación más definitiva al propietario de la empresa sobre cuál es el problema asociado y qué pueden esperar. Por lo tanto, normalmente no recomendamos darles todos los matices, todos los riesgos, todos los problemas. Lo que les decimos generalmente es que les dejen entrar en el programa de terceros hasta cierto punto, pero no del todo. Déjeles ver los resúmenes generales, ofrézcales orientación y recomendaciones, y acompáñeles en el proceso de toma de decisiones. Por supuesto, la responsabilidad final recae en ellos y son ellos quienes toman la decisión final, pero no necesitan conocer todos los matices de cada riesgo y problema. Amy Tweed: Entendido. Gracias, Alastair. Muy bien, esta última pregunta del público me gusta mucho. Buscan más detalles sobre las métricas adicionales de mejora de los KPI de gestión de riesgos de terceros que se pueden utilizar y la mejor manera de hacer un seguimiento de ellas.

Alastair Parr: Entonces, si nos fijamos en el programa K, diferenciamos aquí entre un KPI y un KRI. Si nos fijamos únicamente en el rendimiento del programa, hay niveles de expectativa que se pueden atribuir en función del recurso. Y lo que solemos hacer para impulsar un KPI, o mejor dicho, nuestros criterios de KPI, es utilizar una calculadora de recursos por adelantado. En primer lugar, trazamos el flujo de trabajo del servicio de alto nivel. Por lo tanto, necesitamos comprender cuáles son los puntos de control y los hitos. En función de eso, introducimos el volumen de activos que tenemos y, a partir de ahí, podemos definir qué es un KPI eficaz. Sabemos que tenemos niveles uno, dos y tres, por ejemplo, que deben pasar por estos puntos de control e hitos. No sabemos de antemano hasta dónde va a llegar cada uno de ellos, pero lo que sí podemos entender es lo que nuestro equipo es capaz de conseguir con las automatizaciones de las que dispone y lo que es capaz de hacer. Por lo tanto, buenas métricas de mejora de los KPI. Lo que queremos ver es cómo podemos encontrar formas de aumentar el volumen de terceros que superan los respectivos puntos de control, porque es muy raro que se dé una situación en la que se disponga de más recursos y más capacidad que los que tiene un tercero. Normalmente es al revés. Por lo tanto, algunas de las mejores métricas de mejora de los KPI que esperamos y esperamos ver son que X número de terceros superen el proceso de evaluación en este número de días. ¿Cómo podemos acortar ese plazo? Vemos Y número de riesgos. ¿Cómo podemos reducirlo en función de nuestra tolerancia al riesgo? ¿Cómo reducimos el número que tenemos que aceptar de forma regular? Y eso no es eliminando los riesgos. Es simplemente cambiando los criterios sobre lo que consideramos aceptable y tolerable. Por lo tanto, cualquier buena métrica de mejora de los KPI debe basarse en los recursos disponibles y las automatizaciones con las que se cuenta para llevar a los terceros a través de esos hitos y puertas de su flujo de trabajo de servicio de alto nivel.

Amy Tweed: Genial. Gracias, Alastair. Creo que eso es todo en cuanto a las preguntas del público. Alastair o Joe, ¿queréis añadir algo antes de dar por concluida la sesión de hoy? Alastair Parr: No, pero gracias a todos por escuchar. Joe Tolley: Sí, ya basta de mí. Gracias. Gracias. Amy Tweed: Sí, agradecemos mucho vuestra experiencia y, como recordatorio, esto se está grabando, por lo que se enviará a vuestra bandeja de entrada a primera hora de mañana. Una vez más, si tenéis alguna pregunta o queréis saber por dónde empezar o cualquier cosa relacionada con la gestión de riesgos de terceros, podéis enviarnos un correo electrónico a info prevalent.net. Seguidnos en LinkedIn, seguidnos en Twitter. Estamos aquí para ayudarles y tenemos un montón de seminarios web y blogs estupendos que compartir con ustedes. Así que, gracias a todos por participar. Espero que tengan un buen día, estén donde estén. Gracias, Alastair, y gracias, Joe.

Joe Tolley: Gracias a todos. Que tengan un buen día.