El estudio sobre gestión de riesgos de terceros (TPRM) de Mitratech para 2025 transmite un mensaje claro: el panorama de los riesgos de terceros está evolucionando hacia un ecosistema complejo e interconectado, en el que cada proveedor, distribuidor y socio desempeña un papel fundamental. A medida que este ecosistema crece, las organizaciones se ven sometidas a una presión cada vez mayor para adaptarse.
El estudio, que encuestó a profesionales de diversos sectores y empresas de distintos tamaños, pone de relieve un sector que se encuentra en una encrucijada crucial, en la que los cambios en el clima regulatorio, la adaptación tecnológica y el desequilibrio operativo amenazan la salud del sistema.
A continuación, analizamos las principales conclusiones del estudio y lo que revelan sobre el estado actual de los ecosistemas de terceros, así como la forma en que las organizaciones resilientes están cultivando entornos de riesgo más sólidos y equilibrados.
Conclusión n.º 1: Falta de personal y preparación insuficiente: una crisis de recursos
En cualquier ecosistema, la escasez de cuidadores y el crecimiento excesivo de especies sin control pueden provocar un desequilibrio. En TPRM, esto se refleja en que casi el 70 % de los equipos informan de una falta de personal, con una diferencia de casi el 30 % entre el tamaño real y el ideal de los equipos. Como resultado, las organizaciones solo gestionan alrededor del 40 % de su población de proveedores.
Al igual que un bosque sin gestionar en el que compiten diferentes formas de vida, la falta de coordinación agrava el riesgo. Menos del 25 % de los programas están «muy coordinados» y casi la mitad citan los silos departamentales como un obstáculo importante. La responsabilidad del riesgo está fragmentada: los equipos de seguridad de la información y de riesgos supervisan la estrategia, el departamento de compras gestiona la base de datos de proveedores y las unidades de negocio mantienen las relaciones diarias, a menudo con poca comunicación entre ellas.
Implicación: sin una gestión coordinada, el ecosistema de terceros se vuelve confuso. Para prosperar, las organizaciones deben coordinar funciones y fomentar la propiedad compartida a lo largo del ciclo de vida del proveedor.
Conclusión n.º 2. La presión regulatoria remodela el panorama de la gestión de riesgos de contraparte (TPRM).
Al igual que un cambio repentino en los patrones climáticos altera el hábitat natural, el escrutinio regulatorio está modificando el entorno de TPRM. Los equipos de cumplimiento, que antes eran observadores periféricos, ahora actúan como reguladores del ecosistema, y su presencia en TPRM pasará del 42 % en 2023 al 88 % en 2025.
Esta creciente influencia está impulsando una mayor rendición de cuentas y una mejor gestión de los datos. A medida que las organizaciones responden a los cambiantes entornos normativos en materia de privacidad de los datos y resiliencia operativa, están reequilibrando las responsabilidades internas y ampliando su supervisión de los ecosistemas de proveedores.
Implicación: La regulación ya no es un ruido de fondo, sino una fuerza dominante en el clima. Los programas deben integrar el cumplimiento normativo en su ADN operativo para garantizar la adaptabilidad y la salud del ecosistema a largo plazo.
Conclusión n.º 3. La ciberseguridad sigue siendo predominante, pero los riesgos se están ampliando.
Al igual que los ecosistemas dependen de especies clave, la ciberseguridad sigue siendo el riesgo más vigilado (85 %). Sin embargo, los gestores de riesgos están ampliando ahora su vigilancia para incluir la privacidad de los datos (79 %), el cumplimiento normativo (70 %) y la continuidad del negocio (64 %), reconociendo la naturaleza simbiótica e interdependiente de los riesgos modernos.
Departamentos como Seguridad de la Información, Gestión de Riesgos y Privacidad de Datos están adquiriendo un papel cada vez más activo dentro del ecosistema, lo que refleja un cambio hacia la gestión de una gama más amplia de amenazas en todo el panorama organizativo.
Implicación: El TPRM debe evolucionar para reflejar la biodiversidad en el riesgo, ampliando la visibilidad y fomentando una cooperación interdepartamental más sólida en toda la empresa.
Conclusión n.º 4. Las herramientas manuales socavan la capacidad de comprensión y la preparación ante incidentes.
En un ecosistema, unas herramientas de supervisión inadecuadas pueden hacer que se pasen por alto los primeros indicios de desequilibrio, ya sea un brote de enfermedad en una población o un cambio en la calidad del agua. En TPRM ocurre lo mismo. A pesar de la creciente complejidad, el 41 % de las organizaciones siguen utilizando hojas de cálculo para evaluar a terceros. Si bien el 60 % considera que estas herramientas satisfacen las necesidades básicas, solo el 29 % puede determinar el riesgo en cada etapa del ciclo de vida del proveedor, y solo el 15 % se siente preparado para responder a incidentes de terceros.
Este mosaico de herramientas, que a menudo carece de integración, limita la visibilidad, perturba la agilidad e impide una gestión proactiva.
Implicación: Las herramientas obsoletas equivalen a vigilar un bosque con una lupa. Para crear un ecosistema de riesgos resistente y adaptable, las organizaciones deben invertir en plataformas integradas que permitan obtener información completa y en tiempo real.
Conclusión n.º 5. La IA en la gestión del riesgo de contraparte: el optimismo cauteloso se enfrenta a obstáculos de implementación
La inteligencia artificial está emergiendo como una nueva y poderosa especie dentro del ecosistema TPRM, con el potencial de automatizar tareas, acelerar la obtención de información y centralizar los datos de riesgo. En la actualidad, el 14 % de los programas utilizan activamente la IA y el 65 % están explorando sus capacidades.
Sin embargo, persiste la cautela. Las preocupaciones en torno a la seguridad de los datos, la opacidad de los algoritmos y la falta de supervisión humana hacen que muchas organizaciones sigan tanteando el terreno. Aun así, se están sentando las bases: solo el 12 % cita ahora la falta de una estrategia de IA como un obstáculo, frente al 49 % en 2024.
Implicación: La IA es un organismo prometedor pero sensible en el hábitat del TPRM. Una introducción, gobernanza y supervisión cuidadosas serán fundamentales para aprovechar todo su potencial sin alterar el equilibrio.
Reequilibra tu ecosistema de riesgos de terceros
Dentro del Estudio anual sobre gestión de riesgos de terceros de 2025
Leer el informe completoMirando hacia el futuro: el auge de la gestión de riesgos conectada
El estudio revela que el sector reconoce el valor de un ecosistema de riesgos interconectado y simbiótico. Las organizaciones con visión de futuro son:
- Romper los silos mediante una gobernanza interfuncional
- Incorporar el cumplimiento normativo en los flujos de trabajo de riesgos como medida de protección estructural.
- Aprovechar la automatización y la inteligencia artificial para reforzar la resiliencia del ecosistema.
- Ampliar la supervisión de riesgos para tener en cuenta una gama más amplia de amenazas «medioambientales».
Recomendaciones para crear un programa de TPRM resiliente
Para mantener el equilibrio y la sostenibilidad de sus ecosistemas de terceros, las organizaciones deben tener en cuenta las siguientes prácticas recomendadas:
1. Establecer una gobernanza interfuncional.
Unifique el riesgo, el cumplimiento normativo, las adquisiciones y la seguridad informática en un marco compartido con protocolos de propiedad claros.
2. Poner en práctica la IA de forma reflexiva
Empiece poco a poco con la IA: aplíquela en áreas de bajo riesgo mientras establece políticas de transparencia, supervisión y seguridad.
3. Automatizar para compensar las carencias de recursos
Identificar los cuellos de botella manuales y priorizar la automatización en las funciones de evaluación, supervisión y presentación de informes.
4. Incorporar el cumplimiento normativo en los flujos de trabajo de riesgos
Integre los requisitos normativos en sus procesos de diligencia debiday supervisión para adelantarse a las exigencias de las auditorías.
5. Adoptar evaluaciones de riesgo por niveles
Segmentar a los proveedores según su nivel de riesgo y aplicar evaluaciones proporcionales utilizando fuentes de inteligencia tanto tradicionales como dinámicas.
Próximos pasos: Cultive su ecosistema TPRM
Al igual que los biólogos comprenden que los ecosistemas son frágiles y están interconectados, los profesionales del riesgo deben darse cuenta de que la resiliencia no proviene de áreas aisladas de excelencia, sino de la conexión. Su organización no es un organismo solitario, sino que forma parte de algo mucho más grande. Es hora de cuidar su ecosistema.
Permítanos ayudarle a crear un entorno más seguro, inteligente y sostenible para su empresa ampliada.
