La investigación del Estudio sobre gestión de riesgos de terceros de 2023 muestra dos tendencias muy interesantes. En primer lugar, cada vez son más los departamentos que participan en la gestión de riesgos de terceros (TPRM), y el mayor crecimiento interanual en este ámbito se da en los equipos de seguridad de la información, gestión de riesgos y cumplimiento normativo/auditoría. En segundo lugar, aunque los equipos de seguridad de la información son los responsables del programa TPRM en el 71 % de las empresas, es el equipo de compras el que suele encargarse de las relaciones con terceros.
Un equipo es responsable del programa TPRM, pero otro se encarga de las relaciones con los proveedores. Muchos equipos participan en el TPRM y todos ellos tienen sus propias necesidades en materia de riesgos de terceros. Inevitablemente, este enfoque multidepartamental del TPRM podría dar lugar a silos involuntarios, malentendidos o una falta absoluta de intercambio de información crítica.
¿Cómo pueden las organizaciones unir a los departamentos bajo una lengua franca de gestión de riesgos de terceros? Se empieza por crear una única fuente de información veraz en lo que respecta a los datos de los proveedores y distribuidores externos.
Este artículo examina los retos y las consecuencias de un enfoque descoordinado en la gestión de terceros y recomienda diez prácticas recomendadas para unir a los equipos bajo una única fuente de información veraz.
Retos de un enfoque multidepartamental para la gestión de riesgos de terceros
Un enfoque multidepartamental para gestionar el riesgo de los proveedores externos no es intrínsecamente incorrecto; solo requiere un compromiso organizativo para coordinar las funciones. Sin embargo, si no se lleva a cabo de forma coherente, el hecho de que los diferentes departamentos actúen en direcciones diferentes en lo que respecta a la evaluación y el análisis de los riesgos de terceros puede tener varias consecuencias negativas.
- Los requisitos departamentales fragmentados pueden limitar la eficacia de la diligencia debida de los proveedores.
- Las diferentes herramientas pueden generar informes inconsistentes sobre métricas que no se ajustan a los objetivos generales de la organización.
- La toma de decisiones sobre riesgos está dispersa: no hay una persona o equipo que supervise el panorama general de los riesgos de terceros.
Crear una única fuente de información veraz para la gestión de riesgos de proveedores externos es fundamental para las organizaciones que desean optimizar sus procesos de evaluación de riesgos y garantizar la precisión y coherencia de los datos.
Cómo crear una única fuente de información veraz sobre los riesgos de terceros
Una única fuente de información veraz sirve como repositorio centralizado de información coherente y fiable al que pueden acceder y en el que pueden confiar las distintas partes interesadas de toda la organización. A continuación se indican diez pasos que le ayudarán a establecer una única fuente de información veraz para el riesgo de proveedores y distribuidores:
1. Definir los objetivos organizativos y las métricas clave.
Comience por comprender qué riesgos específicos debe evaluar y gestionar la organización, y qué información es fundamental para la toma de decisiones. Por ejemplo, ¿cuáles son los indicadores clave de riesgo (KRI) que señalan posibles problemas en su base de proveedores y distribuidores externos? Como parte de este proceso, realice una revisión exhaustiva de las métricas de riesgo empresarial, incluidas las de los distintos departamentos de las partes interesadas.
2. Identificar a las partes interesadas clave de la empresa.
Basándose en las métricas de riesgo empresarial definidas en el paso 1, determine quién utilizará la fuente única de información. Esto podría incluir a los equipos de adquisiciones
,
gestión de riesgos, responsables de cumplimiento normativo, equipos jurídicos y otros departamentos relevantes más allá de la seguridad informática. A medida que identifique a las partes interesadas clave, valide que los KRI elegidos en el paso 1 sean precisos y ajústelos en consecuencia.
3. Realizar una auditoría para comprender las fuentes de datos actuales.
Una vez que comprenda qué debe supervisar la organización y quién debe participar, el siguiente paso lógico es averiguar de dónde provienen los datos existentes sobre riesgos de terceros. Las fuentes comunes de datos sobre riesgos de terceros suelen proporcionar:
- Estado de los controles internos sobre los procesos empresariales clave
- Datos demográficos y de la empresa
- Señales cibernéticas procedentes de herramientas de supervisión de la seguridad
- Actualizaciones comerciales/operativas
- Información sobre reputación
- Puntuaciones financieras o crediticias para la salud financiera
- Situación medioambiental, social y de gobernanza (ESG)
- Información sobre cumplimiento normativo o sanciones
Una vez que haya auditado las fuentes de datos, podrá determinar posibles solapamientos de datos o identificar lagunas en la información que deben completarse.
4. Centralizar los datos sobre riesgos de terceros en una única plataforma tecnológica.
Su organización obtendrá el máximo beneficio en materia de gestión de riesgos si todos los datos necesarios sobre riesgos de terceros se centralizan y son visibles para todas las partes interesadas pertinentes. Por lo tanto, elija una única plataforma tecnológica o solución de software que pueda servir de base para su única fuente de información veraz. Considere las opciones que ofrecen capacidades de integración, herramientas de análisis de datos e informes específicos para las partes interesadas. La centralización de los datos tiene la ventaja adicional de fomentar la colaboración entre las partes interesadas.
5. Normalizar y validar los datos
Normalice los datos para garantizar su coherencia y precisión. Esto incluye armonizar las convenciones de nomenclatura, clasificar los riesgos y validar los datos con fuentes fiables. Establezca controles de calidad de los datos y rutinas de validación. Integre las fuentes de datos para automatizar la recopilación y actualización de datos siempre que sea posible.
6. Elija un marco de evaluación de riesgos.
Desarrolle un marco integral de evaluación de riesgos de terceros que tenga en cuenta diversos factores de riesgo, como la estabilidad financiera, el cumplimiento de las normativas, la ciberseguridad, la reputación y otros. Personalice este marco para adaptarlo a las necesidades específicas de su organización y a los estándares del sector. Esto permitirá que todos los miembros de la organización hablen el mismo idioma en lo que respecta al riesgo de terceros.
7. Aplicar un modelo de puntuación estandarizado.
Cree un sistema de puntuación para cuantificar y clasificar los riesgos asociados a cada proveedor. Esto puede ayudar a priorizar las acciones y los recursos para gestionar las entidades de mayor riesgo. Una matriz tipo mapa de calor de 5×5 que mida la probabilidad de ocurrencia y el impacto es un buen punto de partida y debería ser fácil de entender para las diferentes partes interesadas. Establezca reglas de flujo de trabajo automáticas para dirigir los riesgos a las partes interesadas adecuadas.
8. Estandarizar los informes y los paneles de control
Cree informes y paneles personalizados para proporcionar a las partes interesadas información en tiempo real sobre los riesgos de los proveedores y distribuidores. Estos informes deben adaptarse a las necesidades de los diferentes departamentos y funciones. Este paso es realmente la clave del éxito para crear una única fuente de información veraz. Al fin y al cabo, sin un único panel de control, una única ubicación, para acceder a la información clave, el esfuerzo sería en vano.
9. Supervisar continuamente a los terceros
La creación de una única fuente de información veraz sobre los datos de riesgo de terceros no termina cuando se completa el panel de control. Por el contrario, es necesario supervisar a los terceros para proporcionar un flujo continuo de información que permita mejorar la toma de decisiones. Esto puede implicar alertas automáticas para los indicadores de riesgo clave identificados en el paso 1.
10. Actualizar a las partes interesadas y los procesos
Revise y actualice periódicamente su fuente única de información para reflejar los cambios en los factores de riesgo, las normativas y las necesidades empresariales. Asegúrese de que los datos sigan siendo precisos y relevantes. Como parte de este proceso, forme a los usuarios sobre cómo acceder y utilizar la fuente única de información de forma eficaz. Fomente los comentarios de los usuarios y las partes interesadas para mejorar continuamente la fuente única de información y su eficacia en la gestión de los riesgos de los proveedores y distribuidores.
Próximos pasos para crear una única fuente de información veraz sobre los riesgos de terceros
Crear una única fuente de información veraz sobre los riesgos de los proveedores externos es un proceso continuo que requiere el compromiso y la diligencia de la organización. Al centralizar los datos, automatizar los flujos de trabajo y crear un marco estandarizado de evaluación de riesgos, su organización puede mejorar su capacidad para tomar decisiones informadas y mitigar los riesgos de manera eficaz, al tiempo que todos hablan el mismo idioma.
Para obtener más información sobre cómo Prevalent puede ayudarle a centralizar la información de proveedores externos y crear un programa TPRM empresarial desde cero, solicite hoy mismo una demostración personalizada.
Nota de la Redacción: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido se ha actualizado desde entonces para incluir información alineada con nuestras ofertas de productos, cambios normativos y cumplimiento.
