Si las personas que te mantienen en el negocio quiebran, ¿qué te pasará a ti?
Esta es la pregunta más importante que deben responder los responsables de la gestión de riesgos en relación con sus terceros y socios de la cadena de suministro, teniendo en cuenta la actual crisis pandémica de COVID-19. Sin embargo, solo el 10 % de los responsables y tomadores de decisiones confían plenamente en sus programas de gestión de riesgos de terceros y solo el 50 % están satisfechos con sus soluciones actuales. ¿Qué significa esto? Programas insuficientes y falta de preparación para hacer frente a lo desconocido.
En colaboración con Shared Assessments, Prevalent realizó una encuesta a altos responsables de la toma de decisiones sobre riesgos en febrero de 2020 para estudiar las tendencias, los retos y las iniciativas actuales en materia de riesgos de terceros que afectan a las organizaciones en la actualidad. El objetivo del estudio era ofrecer una visión general del mercado en materia de riesgos de terceros, con recomendaciones prácticas que las organizaciones pueden aplicar para desarrollar y madurar sus programas. En esta publicación se resume lo que hemos aprendido del estudio y lo que usted puede hacer para mejorar la resiliencia de su programa de gestión de riesgos de terceros.
- Lea el informe completo con 17 páginas de estadísticas de la encuesta, análisis y recomendaciones.
- Echa un vistazo a nuestra infografía, en la que se destacan las principales conclusiones del informe.
Principales conclusiones del estudio sobre gestión de riesgos de terceros de 2020
Los resultados del estudio sugieren que:
La falta de procesos está perjudicando la eficacia de los programas de terceros.
El cumplimiento normativo (en particular, el cumplimiento de los requisitos de protección de datos, como el RGPD) es uno de los principales impulsores de los proyectos, pero las organizaciones carecen de los recursos (presupuesto) y los procesos necesarios para evaluar incluso a sus proveedores de primer nivel, y la mayoría de las evaluaciones tardan más de un mes en completarse. Teniendo en cuenta el estado de su cadena de suministro, ¿puede permitirse este tipo de retraso?
La gestión de riesgos de terceros es un trabajo en equipo.
Los equipos de cumplimiento normativo y ciberseguridad no son los únicos necesarios para contribuir a un programa maduro; también se necesitan colaboradores que puedan evaluar e interpretar los riesgos empresariales y financieros, especialmente en el contexto actual. Dada la dificultad para obtener recursos y la continua falta de confianza en los programas, será difícil operar de forma aislada.
Las organizaciones que no cuentan con los derechos de terceros pueden sufrir consecuencias importantes.
El 76 % de los encuestados afirmó haber experimentado uno o más problemas que afectaron al rendimiento de los proveedores, el 74 % señaló problemas operativos y el 55 % indicó una infracción de cumplimiento en los últimos dos años. Teniendo en cuenta el gran consumo de recursos que supone un programa TPRM medio, ¿cómo podría recuperarse?
Pocas organizaciones están satisfechas con sus conjuntos de herramientas actuales.
Cuando se les preguntó si tenían previsto implementar una nueva solución de gestión de riesgos de terceros o ampliar/sustituir una ya existente en los próximos 12 meses, casi la mitad de los encuestados respondió que «sí». Cuando la mitad del mercado busca cambiar su solución, significa que las necesidades no se están satisfaciendo. Y no es de extrañar, teniendo en cuenta que los niveles de satisfacción con las herramientas existentes rondan el 50 % y que la media ponderada de satisfacción con las herramientas de GRC alcanza un máximo de 3,4/5,0. Los proveedores de contenidos de evaluación estandarizados se oponen a esta tendencia: está claro que las organizaciones confían en los contenidos de evaluación estandarizados para allanar el camino.
IRM: ¿una salida?
El 42 % de los encuestados indica que invertirá en IRM durante el próximo año, pero les preocupan los recursos, el personal y los conocimientos limitados, la falta de conocimiento en tiempo real de los cambios y la falta de integración con otras herramientas utilizadas para la gestión de proveedores o la gestión de riesgos. Dado que la transformación digital también es un factor impulsor, es importante que las organizaciones determinen si un IRM de uso general tiene la flexibilidad necesaria para satisfacer sus necesidades, en comparación con una plataforma de evaluación TPRM diseñada específicamente para ese fin.
El mercado de la gestión de riesgos de terceros se encuentra en un punto de inflexión. Los usuarios no evalúan lo suficiente a sus principales proveedores. Carecen de los recursos y el presupuesto necesarios para financiarlo correctamente. El riesgo de terceros está deteriorado y las cadenas de suministro están en peligro.
¿Cuál es el camino a seguir? Lea las recomendaciones a continuación.
Recomendaciones para la gestión de riesgos de terceros
Desarrollar y perfeccionar un programa de gestión de riesgos de terceros adaptable y ágil no tiene por qué ser un proceso complejo y que requiera mucho tiempo. A continuación, le ofrecemos cinco (5) recomendaciones para poner en marcha sus actividades de gestión de riesgos de proveedores:
N.º 1: Desarrollar un proceso programático
Un proceso programático debería ayudar a su equipo de manera progresiva:
- Defina quiénes son sus proveedores y qué riesgos inherentes representan para su negocio.
- Evaluar la estrategia adecuada para recopilar la información correcta de los terceros adecuados.
- Analizar los resultados de las evaluaciones y puntuar los niveles de riesgo basándose en un amplio ecosistema de datos.
- Remediar los riesgos detectados en el análisis de las evaluaciones completadas.
- Informe sobre los requisitos normativos y del sector, y para la junta directiva.
- Optimizar el programa para adaptarlo a los requisitos y niveles de recursos en constante cambio.
¿Cuáles son los resultados de una metodología tan estandarizada y repetible? Descargue el informe completo para descubrirlo.
N.º 2: Crear un equipo multifuncional
Dada la complejidad, es probable que nadie pueda resolverlo todo por sí solo, por lo que la colaboración interna y externa es clave no solo para identificar el riesgo, sino también para mitigarlo.
N.º 3: Sea exhaustivo sin ser complejo.
Existen soluciones disponibles en el mercado que ofrecen una biblioteca de preguntas predefinidas que se corresponden con cualquier número de marcos normativos o industriales. Esto le permite evitar la duplicación de esfuerzos y el mosaico de requisitos que obtendría si intentara evaluar cada marco individualmente. También es mucho más fácil demostrar el cumplimiento cuando se trata de una pregunta que abarca muchos requisitos a la vez.
N.º 4: manténgase ágil con opciones de evaluación y análisis
No se limite a una única opción rígida para recopilar y analizar las encuestas de sus terceros. Existen múltiples formas de evaluar a todos sus proveedores de primer nivel (y, por lo tanto, superar uno de los principales retos citados en esta encuesta).
- Autoservicio: recopile solo la información básica para fundamentar su lógica de perfilado y clasificación. Como mínimo, centralice la gestión de todos sus proveedores en un único lugar para mantener la visibilidad.
- Servicio gestionado: externalice la evaluación de sus terceros de primer nivel a un especialista en identificación y análisis de riesgos, y libere a su equipo para que se centre en la gestión de riesgos residuales a largo plazo.
- Servicio compartido: Aproveche una red de cuestionarios completados por proveedores y pruebas justificativas para sus proveedores de nivel inferior, de modo que pueda centrar los esfuerzos de su equipo (y la cantidad adecuada de recursos) en los proveedores de nivel superior.
N.º 5: Complemente su toma de decisiones con inteligencia basada en el riesgo.
Tomar decisiones de forma aislada con un conjunto de datos limitado no permitirá a su equipo gestionar eficazmente los riesgos de los proveedores. En su lugar, busque soluciones basadas en una plataforma abierta que se integre con múltiples soluciones empresariales y de gestión de riesgos. Una solución sólida ofrecerá:
- Un perfil de riesgo completo que informa sobre los niveles de evaluación, la frecuencia de las evaluaciones y la medición del SLA.
- Un modelo de riesgo cuantificado y contextualizado que incluye riesgos cibernéticos y riesgos empresariales, además de cálculos ISO y FAIR.
- Gestión de respuestas con flujo de trabajo y automatización habilitados para garantizar que la información sobre los proveedores se envíe a las personas adecuadas de su equipo.
- Informes sobre riesgos y establecimiento de prioridades, incluyendo contexto y orientación para el establecimiento de prioridades.
- Difusión automatizada de informes para garantizar la transparencia con terceros y dentro de su organización.
¿Cómo te comparas con los demás?
Las herramientas y soluciones de IRM existentes no son suficientes para superar los retos que plantea la gestión de riesgos de terceros. Solo un modelo integral que ofrezca un proceso programático hasta la madurez, con opciones para gestionar los costes y la presentación de informes para el cumplimiento normativo, proporcionará una base sólida para que los equipos de gestión de riesgos se adapten con el tiempo.
¿Cómo se compara su programa de gestión de riesgos de terceros con el de los participantes en nuestra encuesta? Descargue los resultados completos y revise la infografía para comparar sus propias prácticas de TPRM.
Para obtener más información sobre cómo Prevalent puede ayudarle a abordar los retos de la gestión de riesgos de terceros, solicite hoy mismo una demostración de nuestra plataforma.
Nota de la Redacción: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido se ha actualizado desde entonces para incluir información alineada con nuestras ofertas de productos, cambios normativos y cumplimiento.
