Las solicitudes de propuestas (RFP) y las solicitudes de información (RFI) son esenciales para seleccionar los productos o servicios adecuados para sus necesidades, y para elegir a los vendedores y proveedores que los respaldan. Al automatizar los procesos de contratación de su organización e infundirles las mejores prácticas de gestión de riesgos, puede aumentar la eficacia de las adquisiciones y, al mismo tiempo, reducir los riesgos desde el primer día del ciclo de vida de los terceros.
Aunque muchas personas están familiarizadas con los términos gestión de RFP y gestión de RFI, existen otros tipos de solicitudes que se utilizan durante el proceso de contratación. En este blog se utiliza el término "gestión de RFx" para englobar los distintos tipos de solicitudes, que trataremos a continuación.
En este artículo se analizan las consideraciones clave para la gestión de la RFx:
- Definición de la gestión de la RFx
- Comprender los posibles retos de la gestión de la RFx
- Clasificación de las RFP, RFI y otros tipos de solicitudes
- Siguiendo el proceso de licitación en 5 pasos
- Utilizar su proceso de licitación para reducir el riesgo de terceros
¿Qué es la gestión de la RFx?
La gestión de la RFx es el proceso de administración de la identificación, contratación y selección de vendedores, proveedores u otros terceros. Un proceso de RFx eficaz debe facilitar:
- identificar posibles productos y servicios de terceros
- calificar y comparar soluciones basándose en criterios coherentes
- proporcionar información sobre el riesgo de los vendedores y proveedores antes de la compra
- atender las necesidades de las partes interesadas en todos los departamentos
La mayoría de las organizaciones comienzan el abastecimiento y la selección enviando una solicitud de información (RFI) a varios vendedores o proveedores, seguida de una solicitud de propuesta (RFP) a una selección de finalistas. Las respuestas a las RFI y RFP proporcionan a los compradores un conocimiento del mercado y les permiten comparar las capacidades de las soluciones de los distintos proveedores. A esto pueden seguir peticiones de oferta, solicitudes de propuestas y otras solicitudes de información hasta que se tome una decisión final.
Retos de la gestión de la licitación
Muchas organizaciones están obligadas -por política de empresa o por ley- a realizar evaluaciones justas y objetivas de las soluciones de los proveedores. Sin embargo, la mayoría de los equipos de compras están atascados en enfoques manuales de RFx basados en hojas de cálculo para gestionar todo, desde el seguimiento de los requisitos y la comunicación con las partes interesadas, hasta la realización de la diligencia debida del proveedor y la evaluación de las posibles soluciones. Esto hace que el proceso de aprovisionamiento y selección sea demasiado largo, complejo e incoherente. También aumenta la probabilidad de que se pasen por alto los riesgos empresariales y de seguridad de los proveedores.
Seleccionar al proveedor adecuado es tan importante como seleccionar la solución adecuada, por lo que es esencial que los equipos de compras cuenten con procesos racionalizados para evaluar ambas opciones. También es fundamental seleccionar opciones que se ajusten a la tolerancia al riesgo de la organización. El problema es que hay pocas opciones que permitan a los equipos cumplir eficazmente ambos objetivos.
RF ¿Qué? Tipos de solicitud
Las organizaciones pueden utilizar distintos tipos de solicitud en función de la fase del ciclo de compra en la que se encuentren o del estado de la relación con el vendedor o proveedor. Los tipos de solicitud más comunes son:
Solicitud de información (RFI)
Las solicitudes de manifestaciones de interés suelen utilizarse al principio del proceso de compra para recabar información sobre los posibles vendedores, proveedores y otros terceros que puedan satisfacer las necesidades de una organización. Las empresas que emiten RFI buscan conocer un mercado específico y determinar los requisitos básicos.
Solicitud de propuestas (RFP)
Las RFP se envían a los proveedores seleccionados en el proceso de RFI, o pueden utilizarse en lugar de una RFI si los proveedores y los requisitos ya están identificados. Las RFP incluyen preguntas detalladas, criterios y especificaciones, lo que permite a los compradores comparar opciones y hacer una selección final basada en la adecuación al propósito y al uso.
Solicitud de presupuesto (RFQ)
Las peticiones de oferta se distribuyen a los candidatos finales y en ellas se solicita al proveedor el precio de los bienes o servicios solicitados. Algunas empresas prescinden de las RFI y las RFP y utilizan las RFQ para compras repetitivas y más sencillas que suelen basarse en el precio. Otras se saltan el proceso de petición de oferta y recurren a las negociaciones de venta.
Licitación
Los RFT invitan a los proveedores a presentar una oferta en sobre cerrado. Este tipo de solicitudes suelen aplicarse a organizaciones legalmente estructuradas o a organismos gubernamentales.
Solicitud de oferta (RFB)
Las RFB invitan a los posibles proveedores a licitar por un servicio, pero no se consideran un acuerdo vinculante. Se utilizan cuando el comprador y los proveedores han suscrito acuerdos marco de servicios y no se requiere una evaluación detallada de los proveedores.
Aunque la mayoría de los casos de uso de la contratación pública se consideran RFI o RFP, a efectos de este blog utilizaremos RFx, donde la "x" puede sustituir a cualquiera de los términos anteriores.
El proceso de licitación en cinco pasos
Para garantizar que las evaluaciones de los proveedores sean coherentes y justas, las organizaciones suelen seguir un proceso estándar de cinco pasos. Tenga en cuenta que cada etapa del proceso presenta retos únicos que pueden ralentizar los ciclos de compra e introducir costes y riesgos innecesarios.
Paso 1: Identificar los requisitos empresariales
En este paso, los equipos de adquisiciones identifican y determinan las necesidades de las partes interesadas internas, además de realizar un seguimiento de los requisitos a medida que evolucionan. Las tareas pueden incluir la programación y gestión de reuniones de equipo para desarrollar y revisar los requisitos, además de investigar las opciones disponibles en el mercado.
Con varias personas de diferentes equipos internos implicadas en los procesos de RFX, puede ser difícil superar los silos departamentales y mantener el proyecto en marcha. Los equipos de compras deben fomentar la colaboración y evitar la complejidad, o los compradores podrían intentar eludir el proceso.
Paso 2: Redactar y publicar la licitación
En este punto, los equipos de compras y de negocio se asocian para redactar preguntas que permitan evaluar a los proveedores en función de los criterios y resultados clave definidos en el Paso 1. También deben crear el instrumento de recopilación de datos de los proveedores, como una hoja de cálculo, distribuirlo para su revisión y aprobación, y definir los umbrales de puntuación. Por último, los equipos de compras o de línea de negocio se comunican con los proveedores candidatos para informarles de los plazos, responder a sus preguntas y aclarar los requisitos. Este paso puede implicar un montón de correos electrónicos de ida y vuelta.
Paso 3: Evaluar las respuestas
Este paso implica recopilar y cotejar las respuestas de varios proveedores, revisar las respuestas para determinar si son adecuadas, aplicar el modelo de puntuación desarrollado en el Paso 2, rellenar tablas comparativas y realizar un seguimiento con los proveedores para obtener aclaraciones si es necesario.
Las organizaciones suelen utilizar hojas de cálculo para recopilar información sobre los proveedores con fines de comparación y evaluación, pero la gestión de las hojas de cálculo puede llevar mucho tiempo, son demasiado rígidas para la colaboración y obligan a los equipos a copiar manualmente las fórmulas de puntuación, lo que da lugar a una evaluación incoherente, inexacta o injusta. Los equipos de compras no pueden permitirse ralentizar el negocio.
Paso 4: Seleccionar tercero
En este paso, el líder de la RFx convoca al equipo responsable de seleccionar la solución, confirma el proveedor ganador y define los siguientes pasos. En este paso también se notifica al ganador y se le comunican los pasos siguientes.
La mayoría de los procesos de RFx se centran en la selección de una solución con las capacidades adecuadas, pero a menudo ofrecen poca o ninguna visibilidad de los riesgos que el proveedor podría introducir. Si no se conocen los riesgos de ciberseguridad de un posible proveedor, su historial de infracciones de datos, los problemas normativos, financieros o de reputación, las empresas corren el riesgo de adquirir la solución adecuada del proveedor equivocado.
Paso 5: Negociar el contrato
Una vez que se ha seleccionado a un proveedor y se determina que la solución es adecuada para su propósito y para su uso, el departamento de compras lo notifica al equipo jurídico para que inicie el proceso de contratación del proveedor. Al igual que en los pasos anteriores, esto puede implicar comunicaciones manuales por correo electrónico que no incluyen un registro de auditoría.
Utilizar su proceso de RFX para reducir el riesgo de terceros
El proceso de RFX de su organización debe mejorar su programa más amplio de gestión de riesgos de terceros (TPRM). Por ejemplo, el proceso de abastecimiento y selección es una gran oportunidad para calificar el riesgo perfilado de un proveedor en función de la criticidad de sus servicios y otros factores. Estas son algunas de las mejores prácticas para integrar la RFx con la TPRM:
Exigir auditorías y acreditación a determinados proveedores
Los cuestionarios de riesgo de proveedores deben utilizarse para todos los proveedores con los que trabaje su organización. Sin embargo, para las RFI y RFP que evalúen a proveedores que tendrían acceso a sus sistemas y datos, considere la posibilidad de solicitar pruebas de los controles de seguridad especificados por directrices del sector como NIST 800-53, NIST 800-161, el Marco de Ciberseguridad del NIST o ISO 27001.
Validar los controles comunicados por el proveedor siempre que sea posible
Algunos proveedores pueden falsear la información sobre sus operaciones y controles de seguridad cuando responden a las solicitudes de propuestas. Al integrar su proceso de RFx con una plataforma de gestión de riesgos de terceros (TPRM), puede validar la información de los controles declarados por el proveedor con pruebas observables externamente sobre sus prácticas empresariales, finanzas, reputación, historial de infracciones y exposiciones a la ciberseguridad. Busque plataformas TPRM que ofrezcan acceso a una red de inteligencia de proveedores y capacidades de supervisión continua de riesgos para aprovechar estos conocimientos.
No vaya solo
Prevalent RFx Essentials es una solución SaaS que centraliza y automatiza la distribución, comparación y gestión de solicitudes de propuestas (RFP) y solicitudes de información (RFI). RFx Essentials facilita a su equipo de adquisiciones no sólo la selección de soluciones y proveedores que cumplen los requisitos de funcionalidad y riesgo de su organización, sino que también da un primer paso fundamental en la gestión de riesgos a lo largo del ciclo de vida de terceros con inteligencia de riesgos de proveedores incorporada. Con Prevalent RFx Essentials las organizaciones pueden:
- Acelerar los ciclos de compra automatizando y centralizando las comunicaciones internas y con los proveedores, que consumen mucho tiempo.
- Unificar los equipos internos con una plataforma única y centralizada para la gestión de los requisitos, las comunicaciones y la selección.
- Tome mejores decisiones basadas en el riesgo gracias a una completa información comercial, financiera y sobre la reputación de los proveedores.
- Reducir los errores humanos y los sesgos automatizando las tareas manuales y permitiendo comparaciones directas.
- Validar lo que el proveedor ha facilitado en su respuesta a la solicitud de propuestas con información externa.
- Obtenga una mejor visibilidad de los riesgos en una fase más temprana de la relación para realizar evaluaciones de riesgos más rápidas y específicas en fases posteriores del ciclo de vida.
- Acelere las auditorías y los informes con documentación y justificantes centralizados.
- Simplificar los procesos de contratación al incluir automáticamente a los proveedores en el ciclo de vida del contrato y la diligencia debida precontractual tras la selección.
RFx Essentials proporciona automatización e inteligencia para el primer paso en el ciclo de vida de terceros, y se integra de forma nativa con la plataforma de gestión de riesgos de terceros de Prevalent. Para obtener más información sobre cómo puede ayudarle Prevalent, solicite una demostración hoy mismo.
Nota de la Redacción: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido se ha actualizado desde entonces para incluir información alineada con nuestras ofertas de productos, cambios normativos y cumplimiento.
