Argumentos a favor de la gestión descentralizada de riesgos de terceros

Ahora que entramos en el tercer trimestre de nuestro descontento con la pandemia mundial del coronavirus, una cosa está muy clara: la gestión centralizada del riesgo de los proveedores está colapsando.

Esta conclusión se basa en las revelaciones de quienes han hablado públicamente sobre el tema, por ejemplo, en la conferencia Mitratech Interact celebrada en septiembre: El reto que plantea la pandemia para la gestión de riesgos de los proveedores es garantizar el compromiso de los empresarios para mantener el control sobre sus proveedores críticos de productos y servicios.

Hasta ahora, para muchos empresarios, su responsabilidad en la gestión de proveedores consistía en rellenar un montón de formularios, aprobaciones y/o exenciones para obtener la autorización para adquirir el producto o servicio de la empresa que ya habían seleccionado; al fin y al cabo, ellos son los expertos en la materia. Probablemente, esto significaba que alguien con un salario más alto sería la firma probatoria del contrato y que, una vez superado el obstáculo, todo iría sobre ruedas durante al menos un año.

La gestión de proveedores se convirtió en una molestia recurrente, ya que exigía actualizaciones periódicas de las plantillas y la obtención de los documentos necesarios proporcionados por los proveedores para garantizar que todos los requisitos pudieran cumplirse o seguir cumpliéndose. Aparte de la validación del rendimiento del proveedor, del que depende el éxito del propietario de la empresa, gran parte del esfuerzo de gestión de proveedores se encontraba fuera del ámbito de especialización del propietario de la empresa.

Esto se debe a que la gestión de proveedores es un ejercicio colectivo. Se trata de la recopilación de opiniones en un plano horizontal procedentes de un grupo de expertos en la materia que operan dentro de la mayoría de las organizaciones en sus propios feudos orientados verticalmente. El propietario de la empresa era solo una de las muchas opiniones con un papel poco dominante.

.vc_do_cta3{padding-top:28px;padding-right:28px;padding-bottom:28px;padding-left:28px;margin-bottom:35px;}.vc_custom_1631891849000{background-image: url(https://mitratech.com/wp-content/uploads/Green-A-Page-Header.png?id=42780) !important;background-position: center !important;background-repeat: no-repeat !important;background-size: cover !important;border-radius: 2px !important;}

Infografía: Directrices para la incorporación eficaz de proveedores

Mitigar los riesgos al tiempo que se establecen sólidas relaciones con los proveedores.

Descargar ahora

El nuevo orden de las cosas en la gestión de riesgos de proveedores

La dificultad de la gestión centralizada de proveedores siempre ha sido la dotación de personal. Al consolidar los pasos y prácticas de revisión necesarios, una organización podría controlar el programa y presentar ante cualquier auditor o regulador la disciplina y la autoridad ejercidas en la gestión de la documentación de los proveedores. Pero esto requería mucha mano de obra si se concentraba en manos de unos pocos.

Ahora que nos encontramos en medio de un acontecimiento «cisne negro», gestionar la documentación es trivial, en comparación con mantener el compromiso y la línea de visión con los proveedores que permiten que su negocio funcione semanalmente, diariamente y tal vez incluso cada hora. Ahora necesitamos que muchos se comprometan y se empoderen.

En los modelos de riesgo existe una definición de primera y segunda línea de defensa. La gestión de proveedores no puede aceptar y asumir ambas funciones de defensa simultáneamente. Debe participar la primera línea de defensa, tal y como se define, es decir, los propietarios de las empresas que realmente conocen y son responsables del modelo de negocio. Probablemente ahora sea evidente que su negocio puede depender de ello.

Un nuevo enfoque

Ha surgido un nuevo enfoque. ¿Dispone mi proveedor del personal adecuado para operar y prestar servicios a nuestra empresa? ¿Cómo altera la exposición al riesgo de seguridad de la información el cambio en la residencia del personal y la conectividad de las operaciones del proveedor? ¿Cómo debemos redefinir los servicios esenciales? ¿Es necesario revisar los contratos? ¿Disponemos de acuerdos de nivel de servicio (SLA) y opciones de salida adecuados (tal y como se define para las instituciones financieras en el apéndice J del Manual de examen de la FFIEC hace más de cinco años)?

¿Cómo deben cambiar las políticas y los procedimientos con el proveedor y dentro de nuestra organización para aceptar una tolerancia al riesgo cambiante? ¿Hay alguien preocupado por el riesgo de concentración de proveedores ahora que hay confinamientos en todo el país y focos de contagio? ¿Cómo se supervisa y valida la exposición a la ciberseguridad y la resiliencia de los proveedores?

Estas son las preguntas que hay que responder, en lugar de limitarse a preguntar si su proveedor tiene una carta puente de auditoría para el informe SOC del año pasado. Los propietarios de empresas ahora tienen más en juego. Y las organizaciones de gestión de proveedores deben ceder y garantizar la responsabilidad delegada de este proceso empresarial crítico a los propietarios de empresas, dejando de definirse a sí mismas como las únicas encargadas de satisfacer los requisitos normativos. El riesgo de terceros es real, y ya no es un pasatiempo.

.vc_do_btn{margin-bottom:22px;}.vc_custom_1605296946307{background-image: url(https://mitratech.com/wp-content/uploads/background-3-1.jpg?id=32674) !important;background-position: center !important;background-repeat: no-repeat !important;background-size: cover !important;}.vc_custom_1596163214368{margin-left: 40px !important;}

Defiéndase contra los riesgos de proveedores y empresas

Conozca nuestras soluciones VRM/ERM, las mejores de su categoría.

Contacte con nosotros