Gestión del riesgo de los proveedores: La guía definitiva

La Gestión del Riesgo de Proveedores (SRM) se plantea cada vez más como un tema de nivel directivo a medida que las preocupaciones por la continuidad del negocio y la gestión del ciclo de vida del producto adquieren papeles más importantes. Empiece con estas mejores prácticas para abordar el riesgo de proveedores en su organización.

Personal de Mitratech
Personal de Mitratech 1 de agosto de 2024 23 minutos de lectura
Decorative image

¿Qué es la gestión del riesgo de los proveedores?

La gestión del riesgo de proveedores (SRM) es la práctica de identificar, analizar y abordar los riesgos que pueden surgir al trabajar con proveedores externos. Estos riesgos incluyen filtraciones de datos, fallos operativos y otras perturbaciones empresariales que pueden afectar a los proveedores de una organización y, por tanto, limitar su capacidad para suministrar productos y servicios a sus clientes.

Una cadena de suministro se define en términos generales como la secuencia de procesos necesarios para fabricar un producto o una mercancía. Estas secuencias pueden ser desde cortas y sencillas, como la de un agricultor que vende productos en un mercado agrícola, hasta largas y complejas, como la de una empresa de productos de consumo que diseña y comercializa sus productos pero depende de cientos de terceras, cuartas y enésimas partes para las materias primas, el montaje, el envasado y la distribución.

El objetivo de la SRM es mantener la continuidad de la cadena de suministro en caso de que se produzca un incidente que pueda afectar negativamente a las relaciones comerciales, el servicio al cliente y la rentabilidad. Los programas eficaces de SRM priorizan los riesgos interdependientes que pueden provocar interrupciones en la cadena de suministro y tiempos de inactividad mediante evaluaciones de proveedores, supervisión continua, análisis de datos y mapeo de riesgos. Los programas bien diseñados también incluyen procesos de mitigación y transferencia de riesgos, así como la capacidad de medir y analizar indicadores clave de rendimiento (KPI) para la optimización continua del programa.

Comprender claramente el riesgo de los proveedores permite a la organización prepararse y responder mejor a las interrupciones en la entrega de productos y servicios. Además, la planificación puede ayudar a las organizaciones a implantar soluciones automatizadas de gestión del riesgo de proveedores para asumir parte de la carga.

Por qué la gestión del riesgo de los proveedores es fundamental hoy en día

Hoy en día, la gestión del riesgo de los proveedores supone la diferencia entre el éxito y el fracaso para muchas organizaciones. La pandemia COVID-19, los disturbios geopolíticos, el cambio climático, las catástrofes naturales y otros acontecimientos han impulsado a muchas empresas a revisar sus planteamientos en materia de SRM. Mientras que las cadenas de suministro justo a tiempo y la externalización global reducían costes y aumentaban la eficiencia en tiempos de estabilidad, estas prácticas han dejado a las cadenas de suministro expuestas a amenazas existenciales en los últimos años.

Aunque es posible que no pueda predecir interrupciones concretas, un programa de gestión de riesgos de proveedores completo y eficaz ayudará a su organización a prepararse para acontecimientos inesperados. También aborda temas de nivel directivo, como la resistencia operativa, la continuidad empresarial y la gestión del ciclo de vida de los productos.

Tipos y ejemplos de riesgos para los proveedores

Tipos de riesgos en la cadena de suministro

Riesgos de ciberseguridad

Algunos de los riesgos más importantes a los que se enfrentan las cadenas de suministro del siglo XXI son las violaciones de datos y otros incidentes cibernéticos, que pueden poner en peligro a los proveedores, a sus clientes e incluso a los clientes de sus clientes. En muchos casos, las grandes empresas cuentan con sólidos programas de ciberseguridad, pero estos no siempre se extienden a las organizaciones de terceros que pueden tener conocimientos y capacidades de ciberseguridad sustancialmente menores. Por ejemplo, en 2013 Target sufrió una violación masiva de datos que expuso la información personal de hasta 40 millones de consumidores. El punto de entrada de los atacantes fue un subcontratista de calefacción, ventilación y aire acondicionado que había prestado servicios a numerosos establecimientos de Target.

La filtración de Target expuso la información personal de 40 millones de consumidores


La brecha de SolarWinds

Otro ejemplo destacado es el ataque a SolarWinds en 2020, que puso en peligro la plataforma Orion de la empresa. Fue uno de los ciberataques de mayor alcance y sofisticación de la historia reciente. La brecha en la cadena de suministro de SolarWinds ha causado estragos en los consumidores de Orion de todo el mundo a pesar de sus mejores esfuerzos por reconocer y minimizar los riesgos. De hecho, un estudio reveló que el coste medio para las empresas afectadas por el ataque a SolarWinds fue de unos 12 millones de dólares.

Prevalent descubrió que el 37% de las partes afectadas carecían de una política documentada de gestión de incidentes para responder a la brecha de SolarWinds. Esta intrusión pilló desprevenidas a muchas organizaciones, revelando deficiencias en los procedimientos internos relativos a la notificación a los clientes y una falta de planificación adecuada de la respuesta a incidentes.

El 37% de las partes afectadas por la brecha de SolarWinds no contaba con una política de gestión de incidentes.

La brecha de SolarWinds es un ejemplo destacado de cómo las organizaciones pueden sufrir los efectos en cascada de los riesgos de ciberseguridad de la cadena de suministro. Aunque los proveedores directos de una organización no hayan utilizado SolarWinds, sus subcontratistas pueden haberlo hecho. Este es también un ejemplo de riesgo de cuarta parte, donde las deficiencias de ciberseguridad de subcontratistas desconocidos podrían afectar negativamente a una cadena de suministro existente (e incluso cuidadosamente gestionada). Estos riesgos subrayan la importancia de obtener una comprensión detallada y completa de su cadena de suministro, incluidos los subcontratistas, contabilizar con precisión los riesgos potenciales y crear proactivamente un plan de respuesta a incidentes para cuando se produzcan.

Riesgos de cumplimiento

Las recientes perturbaciones en las cadenas de suministro mundiales han aumentado la atención prestada a la gestión de riesgos de TI no sólo en los consejos de administración, sino también entre los reguladores y legisladores. Aunque varias normativas incluyen requisitos que regulan el riesgo de seguridad informática de los proveedores, la mayoría de las organizaciones basan sus programas de cumplimiento en las mejores prácticas descritas por el NIST o la ISO.

NIST

Las organizaciones que manejan información del gobierno de Estados Unidos están obligadas a adherirse a las directrices del NIST o Instituto Nacional de Normas y Tecnología. Dado que el NIST publica recursos para la gestión de riesgos aplicables a cualquier empresa, casi el 50% de las organizaciones del sector privado también han adoptado sus directrices. Varias publicaciones especiales del NIST esbozan controles que abordan la seguridad informática de los proveedores, como SP 800-53, SP 800-161 y el Marco de Ciberseguridad del NIST.

ISO

La Organización Internacional de Normalización (ISO) es un organismo de expertos que elabora normas voluntarias basadas en el consenso para resolver problemas mundiales. Las normas ISO de gestión de la seguridad de la información pertenecen a la familia ISO 2700, siendo ISO 27001 e ISO 27002 las más conocidas. La sección 15 de las normas ISO 27001 e ISO 27002 resume los requisitos para tratar de forma segura con diversos tipos de terceros. Esto se suma a la norma ISO 270036-2, que se centra específicamente en los requisitos de seguridad de la información para las relaciones con proveedores y adquirentes.

Normativa ajena a la seguridad informática

La seguridad informática no es la única categoría de riesgo de cumplimiento cuando se trata de relaciones con proveedores. Por ejemplo, varios ejemplos de normativa ESG exigen la supervisión de las prácticas de los proveedores en materia de cambio climático y sostenibilidad (E), justicia social, igualdad salarial, protección de los trabajadores (S), gobernanza, lucha contra el soborno y la corrupción, y diversidad (G).

Riesgos empresariales y financieros

Los riesgos de la cadena de suministro empresarial pueden adoptar muchas formas. Por ejemplo, un proveedor clave podría declararse en quiebra y ser incapaz de cumplir sus contratos. De hecho, algunos estudios muestran que el 25% de las empresas se han visto afectadas por la quiebra financiera de un proveedor en el último año.

El 25% de las empresas afectadas por quiebras financieras de proveedores

Las fusiones y adquisiciones también pueden indicar un cambio de estrategia o una consolidación del mercado que podría afectar a la prestación de servicios, los precios o las condiciones contractuales. Además, la rotación de directivos o los problemas legales pueden afectar a la cultura, la estrategia y la capacidad de una organización para cumplir sus objetivos.

Las organizaciones también están cada vez más sujetas a sanciones reglamentarias en materia de divulgación financiera y ética. Por ejemplo, la Oficina del Contralor de la Moneda (OCC) proporciona orientación específica para los bancos que entablan relaciones con terceros, como proveedores de servicios en la nube, agregadores de datos, empresas de tecnología financiera y subcontratistas.

Al evaluar a los posibles proveedores, es fundamental conocer la situación financiera de la organización, las obligaciones contractuales existentes y otros factores que podrían impedirles ejecutar eficazmente su contrato. Cuantas menos diligencias debidas se realicen antes de contratar a un proveedor, más probabilidades habrá de que se produzca una interrupción significativa de la actividad empresarial.

Disponer de una estrategia formal y documentada de gestión de riesgos de terceros puede ayudar a gestionar estos riesgos. Los vendedores deben ser evaluados de manera uniforme sobre la base de un conjunto predeterminado de métricas que faciliten la comparación entre vendedores competidores y la identificación de posibles proveedores que puedan tener dificultades para cumplir sus obligaciones contractuales.

Riesgos de eventos

La globalización ha hecho que las cadenas de suministro sean mucho más complejas. Por ejemplo, una catástrofe natural como un huracán, un incendio forestal, un terremoto o un tsunami en un país puede afectar a las cadenas de suministro de todo el mundo. Se prevé que el riesgo de sufrir interrupciones en la cadena de suministro por catástrofes naturales aumente debido al cambio climático.

Un cambio en las condiciones políticas o en la situación de seguridad de un país proveedor clave también puede provocar perturbaciones negativas en la oferta. Algunos ejemplos son los conflictos bélicos, los cambios en la política fiscal, los problemas de estabilidad interna y los embargos comerciales. Por lo tanto, es fundamental vigilar las condiciones políticas, sociales y económicas de las regiones proveedoras y analizar sus posibles repercusiones en la cadena de suministro. La visibilidad de las infracciones de la Oficina de Control de Activos Extranjeros (OFAC), las empresas estatales y las personas políticamente expuestas (PEP) son fundamentales para comprender los riesgos geopolíticos.

He aquí algunos ejemplos significativos de riesgos de sucesos:

Ejemplos recientes de riesgos de eventos de proveedores


La pandemia de COVID-19

La pandemia de COVID-19 es un buen ejemplo de cómo una crisis sanitaria puede perturbar las cadenas de suministro a escala mundial. En enero y febrero de 2020, China estuvo en el centro de la crisis de COVID-19, lo que provocó interrupciones generalizadas de la cadena de suministro que se vieron exacerbadas por cambios drásticos en la demanda de determinados productos. Por ejemplo, se interrumpieron las cadenas de suministro de equipos clave de protección personal, como mascarillas respiratorias N95 y protectores faciales, al tiempo que se disparaba la demanda. Las interrupciones se extendieron a las líneas de suministro de bienes de consumo a medida que avanzaba la pandemia, y nuevas variantes desencadenaron bloqueos mundiales adicionales.

La guerra en Ucrania

La invasión de Ucrania por Rusia en 2022 obligó a varios fabricantes mundiales a pausar la producción
y amenazó el suministro mundial de trigo. Empresas como Carlsberg, Coca-Cola, Mondelez International, Nestlé y el fabricante de acero y minero ArcelorMittal han suspendido hasta ahora sus operaciones. Ucrania es también uno de los principales productores de metales de tierras raras, como el cobre, que es un insumo importante para muchos productos manufacturados y electrónicos. Estas interrupciones han obligado a las empresas a recabar información de los proveedores que operan en Ucrania y ajustar en consecuencia sus calendarios y procesos de producción.

Las sanciones son una consideración adicional. En el ejemplo de la invasión rusa de Ucrania, varias naciones impusieron bloqueos a las exportaciones y sanciones al gobierno ruso, que han afectado a la capacidad de las empresas rusas para llevar a cabo negocios internacionales. En respuesta, los expertos predicen un aumento de los ciberataques rusos contra gobiernos y empresas occidentales.

La obstrucción del Canal de Suez

Otro ejemplo reciente de interrupción imprevista de la cadena de suministro es el bloqueo del Canal de Suez por un buque portacontenedores gigante durante 6 días en marzo de 2021, lo que provocó un bloqueo diario del comercio estimado en 9.600 millones de dólares.

Es imposible predecir pandemias, guerras o catástrofes con mucha antelación, pero es posible mitigar el riesgo y amortiguar su impacto en su organización. Además de contar con un plan, las organizaciones también pueden realizar simulaciones en sus cadenas de suministro. Estas simulaciones pueden ayudarle a comprender las partes más vulnerables de su cadena de suministro y cómo afectarían las catástrofes naturales a las operaciones empresariales.

Responsabilidad social de las empresas y riesgos ASG

El concepto de ser un "buen ciudadano corporativo" existe desde hace tiempo, pero está evolucionando a medida que aumenta la concienciación. En un tiempo, las organizaciones podían cumplir la definición de responsabilidad social corporativa (RSC) retribuyendo a la comunidad mediante donaciones de tiempo y dinero. Sin embargo, la RSE se asocia cada vez más con las prácticas medioambientales, sociales y de gobernanza (ESG). Éstas incluyen los planteamientos de la empresa en materia de sostenibilidad medioambiental, sus relaciones con los clientes, empleados y comunidades, y la forma en que aborda la remuneración de los ejecutivos, los controles internos y los derechos de los accionistas.

Además, un problema creciente en varias industrias es el uso de mano de obra esclava e infantil, por ejemplo:

  • La difícil situación de la minoría uigur ha ejercido presión sobre las organizaciones que fabrican productos en China. Un informe de 2020 mencionaba 83 marcas mundiales que utilizaban fábricas de trabajo forzoso en China, entre ellas Nike, Gap, Target, Apple y H&M. Además de la creciente presión para que los consumidores boicoteen estas marcas, en 2021, el Congreso aprobó la Ley de Prevención del Trabajo Forzoso Uigur para bloquear la importación de productos relacionados con el trabajo forzoso en China.
  • Las noticias sobre el uso de mano de obra infantil en la extracción de cobalto para las baterías pusieron de relieve las prácticas de la cadena de suministro de Apple, Microsoft, Tesla, Samsung y otras empresas. Además de los daños a su reputación, varias de las empresas se enfrentaron a demandas por sus prácticas.
  • En marzo de 2024, un fabricante de piezas de Tennessee, que suministra a grandes empresas como John Deere y Yamaha, fue obligado a renunciar a 1,5 millones de dólares de beneficios después de que el Departamento de Trabajo descubriera que se empleaba a niños en trabajos peligrosos. Además, la empresa fue multada con 296.951 dólares por someter a "10 niños a trabajo infantil opresivo", según el departamento.

La presión reguladora también va en aumento. La Comisión del Mercado de Valores de Estados Unidos (SEC) adoptó recientemente enmiendas que exigirán "determinada información relacionada con el clima en sus declaraciones de registro e informes anuales", incluidas "las cadenas de valor ascendentes y descendentes". El Parlamento de la Unión Europea (UE) presentó mandatos para que las empresas de la UE "identifiquen y, cuando sea necesario, prevengan, pongan fin o mitiguen los impactos adversos de sus actividades sobre los derechos humanos, como el trabajo infantil y la explotación de los trabajadores, y sobre el medio ambiente, por ejemplo la contaminación y la pérdida de biodiversidad".

Riesgos de capacidad

Ya sea por acontecimientos empresariales, condiciones económicas o catástrofes naturales, es posible que los proveedores no puedan cumplir sus plazos de entrega. Por eso es importante medir continuamente la capacidad de los proveedores, incluido el seguimiento del estado actual de los pedidos, el rendimiento con respecto al historial de pedidos, las respuestas de los proveedores y los acuses de recibo. Una visión proactiva de la capacidad de los proveedores puede ayudar a su organización a ser más ágil cuando se produce una interrupción.

Riesgos de rendimiento

Estrechamente relacionado con los riesgos de capacidad está la medición de los riesgos de rendimiento de los proveedores, también llamados indicadores clave de rendimiento (KPI), que pueden incluir métricas de calidad, rendimiento en las entregas a tiempo y otros riesgos para el cumplimiento de los niveles de servicio acordados. Para gestionar el rendimiento de los proveedores es fundamental disponer de un cuadro de mandos claro que ofrezca visibilidad a nivel de empresa y establecer cláusulas contractuales con acuerdos de nivel de servicio (SLA) aplicables.

Preocupaciones específicas del sector en materia de gestión de riesgos de los proveedores

Cada sector se enfrenta a retos únicos a la hora de tratar con proveedores terceros, cuartos y enésimos. Es fundamental tener en cuenta los factores específicos de su sector, así como realizar revisiones periódicas y detalladas para determinar si los cambios del sector pueden poner en peligro su cadena de suministro.

Riesgos específicos de la cadena de suministro

Preocupaciones de los SRM sanitarios

La pandemia de COVID-19 puso al descubierto muchas deficiencias en la cadena de suministro sanitario estadounidense. La escasez de equipos de protección individual (EPI) y otros dispositivos médicos críticos se prolongó durante meses. La sanidad se enfrenta a muchos riesgos únicos en la cadena de suministro debido a la naturaleza impredecible de las crisis sanitarias y al alcance global de las crisis de la cadena de suministro inducidas por la demanda.

Las organizaciones sanitarias con sede en Estados Unidos también deben prestar especial atención a las leyes de privacidad de datos y a la ciberseguridad de la cadena de suministro. En muchos casos, se exigirá a los proveedores externos que se adhieran a las mismas normas de ciberseguridad que la organización sanitaria en virtud de normativas como la cláusula de "asociado comercial" de la HIPAA. Para obtener información adicional sobre la mejora de la SRM a lo largo de la cadena de suministro sanitaria, recomendamos revisar la presentación de diapositivas de HPH Cyber Supply Chain Risk Management (C-SCRM).

Fabricación y venta al por menor

Las empresas manufactureras y minoristas deben prestar especial atención al creciente interés de la sociedad por las prácticas ASG (medioambientales, sociales y de gobernanza). Los inversores y los gobiernos examinan cada vez más la forma en que los fabricantes y los minoristas obtienen sus materiales, no solo a través de terceros, sino también a través de la cadena de suministro ampliada de las cuartas y las enésimas partes.

Los requisitos de cumplimiento de ESG, como la Directiva Europea de Diligencia Debida Corporativa, crean mandatos para examinar afirmativamente la cadena de suministro en busca de trabajo esclavo y otras prácticas inmorales, y las multas por incumplimiento pueden ser elevadas. Recomendamos que las organizaciones de fabricación y venta al por menor se aseguren de forma proactiva de que la ASG se tiene en cuenta en cada paso del ciclo de vida de la gestión de riesgos de los proveedores por razones de cumplimiento, éticas y de reputación. No cabe duda de que las normativas serán cada vez más estrictas en este ámbito, por lo que adoptar un enfoque proactivo en materia de ASG reducirá sin duda los retos futuros para su organización.

Servicios informáticos, software y ciberseguridad de la cadena de suministro

A primera vista, las organizaciones de servicios de TI y software pueden no estar sujetas a los mismos niveles de riesgo de proveedores que otras empresas de otros sectores. La mayoría de las empresas de software no necesitan abastecerse de productos y materias primas de países políticamente inestables, y la mayoría no tiene que preocuparse tanto por los desastres naturales que afectan a terceros proveedores. Sin embargo, corren un riesgo significativo de sufrir ciberataques.

En los últimos años, los actores maliciosos han recurrido cada vez más a comprometer a terceros de empresas de software y TI para distribuir malware y perjudicar a los clientes. Estos ataques ilustran la importancia crítica de que las empresas de TI y otras compañías evalúen rigurosamente las prácticas de seguridad de la información de terceros proveedores de software y otras organizaciones con acceso a infraestructuras de TI sensibles.

Estos problemas son especialmente graves para los proveedores de servicios gestionados y otros proveedores de servicios de TI con clientes en múltiples sectores verticales. Por ejemplo, la brecha de 2021 en Kaseya explotó una vulnerabilidad en una solución utilizada por los proveedores de servicios gestionados (MSP). El exploit, a su vez, permitió a los atacantes distribuir ransomware a los clientes de MSP que utilizaban la solución de Kaseya.

Comprender el riesgo perfilado, inherente y residual en la cadena de suministro

El riesgo de los proveedores puede clasificarse a grandes rasgos en tres categorías: riesgo inherente, riesgo perfilado y riesgo residual. Comprender estas categorías de riesgo le permitirá priorizar eficazmente los recursos y mitigar el riesgo a lo largo de toda la cadena de suministro.

Riesgo perfilado, inherente y residual

Perfil de riesgo de los proveedores

Riesgo perfilado
tiene en cuenta los riesgos en función de los servicios prestados por el proveedor, los tipos de datos y sistemas a los que tiene acceso y el sector en el que opera. Por ejemplo, si una organización manufacturera obtiene el 90% de sus materias primas de un único proveedor en un país políticamente inestable, el proveedor tendría un alto riesgo perfilado. Por el contrario, un proveedor de un único componente menor y fácilmente sustituible tendría un perfil de riesgo bajo. A la hora de considerar los riesgos del perfil del proveedor, hay que tener en cuenta:

  • Requisitos de cumplimiento: Es probable que la próxima , como el Proyecto de Directiva Europea sobre Diligencia Debida Corporativa, imponga fuertes multas a las organizaciones que no incorporen las mejores prácticas ASG en la cadena de suministro. Los proveedores con una alta probabilidad de problemas ASG, o con un historial deficiente de gestión de los ASG, representan un riesgo de perfil más alto.
  • Acceso a datos y TI: El riesgo perfilado de un proveedor externo se correlaciona directamente con el alcance y el tipo de datos y sistemas de TI a los que tiene acceso. Las organizaciones con altos niveles de acceso a información confidencial tienen un perfil de riesgo más alto. Si un proveedor almacena, procesa o interactúa con sus datos corporativos, entonces su programa de seguridad es efectivamente su programa de seguridad.
  • Ubicación: Las organizaciones que operan en entornos políticamente inestables representan un riesgo de perfil más alto que las organizaciones que no lo hacen. La inestabilidad política puede interrumpir rápidamente las cadenas de suministro, comprometer datos confidenciales y provocar otros resultados adversos difíciles de predecir.

Los gestores de riesgos de proveedores deben tener en cuenta muchos factores a la hora de calibrar el riesgo perfilado de los proveedores potenciales. No cometa el error de saltarse el paso del riesgo perfilado, ya que proporciona un contexto crítico para la selección de cuestionarios para cada nivel de proveedor en su ecosistema de terceros. Sin una comprensión del riesgo perfilado, inevitablemente hará las preguntas equivocadas, obtendrá datos irrelevantes y terminará con puntuaciones de riesgo inherente inexactas.

Riesgo inherente al proveedor

El riesgo inherente indica el nivel de riesgo de un proveedor antes de tener en cuenta cualquier control específico requerido por su organización. Por ejemplo, si una organización sanitaria está buscando empresas de análisis de datos que le ayuden a procesar los datos de los pacientes, una empresa sin documentación que demuestre que cumple las políticas de la HIPAA representaría un riesgo inherente inaceptablemente alto. El hospital tendría la opción de exigir al proveedor la implantación de políticas y procedimientos conformes con la HIPAA o renunciar al contrato. Al analizar el riesgo inherente de un proveedor potencial, tenga en cuenta lo siguiente:

  • Si el proveedor sufriera un ciberataque importante que le impidiera cumplir su contrato, ¿su cadena de suministro sufriría una interrupción importante?
  • ¿Cumple actualmente el proveedor todos los requisitos de conformidad que se derivarían de su organización? (por ejemplo, HIPAA, CCPA, GDPR)
  • ¿Dispone el proveedor de su propio programa de gestión de riesgos de proveedores que le permita seguir suministrando en caso de interrupción de la cuarta o la enésima parte?
  • ¿Dispone el proveedor potencial de un programa de cumplimiento en materia de ASG? ¿Evalúan a las cuartas y enésimas partes en relación con el soborno, la corrupción, la esclavitud moderna y otros riesgos ASG?

Formular estas y otras preguntas relevantes puede ayudarle a discernir el riesgo inherente que un proveedor potencial supone para su organización y su cadena de suministro. Obtener respuestas a estas preguntas le permitirá redactar un conjunto detallado de requisitos para un proveedor basado en una combinación de su perfil y su riesgo inherente.

Riesgo residual del proveedor

El riesgo residual es el riesgo que permanece después de que un proveedor haya implantado con éxito los controles requeridos por su organización. Independientemente del perfil de riesgo del proveedor, del riesgo inherente y de las actividades de corrección, siempre quedará algo de riesgo residual. El objetivo de un programa eficaz de gestión de riesgos de proveedores es reducir el riesgo residual a un nivel que su organización pueda tolerar en toda su cadena de suministro.

Para alcanzar un nivel aceptable de riesgo residual, tendrá que asegurarse de que todos los proveedores han cumplido los requisitos "imprescindibles" de su organización para garantizar cadenas de suministro seguras y conformes. Estos requisitos pueden incluir:

  • Programas de seguridad de la información sólidos y documentados
  • Amplia planificación de la recuperación en caso de catástrofe
  • Visibilidad de las partes cuarta y enésima
  • Un programa de cumplimiento ESG
  • Visibilidad del abastecimiento de materias primas (por ejemplo, minerales conflictivos)

Tenga en cuenta que el riesgo residual no es estático a lo largo del ciclo de vida de la gestión del riesgo del proveedor. Es fundamental supervisar a los terceros a lo largo del ciclo de vida del contrato para estar al tanto de los cambios en el riesgo residual derivados de cambios organizativos o del entorno.

Estrategia de gestión de riesgos para proveedores

Estrategia de gestión del riesgo de los proveedores

1. Formar un equipo interdepartamental de GRS

Identificar y cuantificar el riesgo de los proveedores puede resultar desalentador a primera vista, por lo que es esencial contar con el equipo adecuado para la gestión y gobernanza de su programa de SRM. Entre los participantes pueden figurar representantes de los equipos de compras y aprovisionamiento, gestión de riesgos, seguridad y TI, legal y cumplimiento, y privacidad de datos. También es fundamental colaborar con la gestión y fabricación de productos para comprender los riesgos potenciales en cada nodo de la cadena de valor.

2. Seleccionar un marco de gestión de riesgos

Basar su programa de SRM en un marco de gestión de riesgos puede proporcionarle una base de mejores prácticas y orientación. Muchas organizaciones se alinean con los marcos NIST o ISO, dependiendo de su industria y otros factores. Las directrices específicas del NIST
NIST CSF v2.0, NIST SP 800-53 y NIST SP 800-161. Para las normas ISO, comience con ISO 27001 e ISO 27036-2.

3. Contabilizar el riesgo en los procesos de licitación con la diligencia debida previa al contrato

Al evaluar nuevos proveedores, asegúrese de que los procesos de RFP, RFI y otros RFx incluyan la recopilación de información sobre riesgos empresariales, financieros y de reputación de fuentes como:

  • Noticias empresariales (por ejemplo, fusiones y adquisiciones, acciones legales y normativas, cambios operativos y cambios en la dirección).
  • Cobertura mediática adversa (por ejemplo, violaciones de los principios ASG, esclavitud moderna, soborno, corrupción)
  • Listas de violaciones de datos
  • Registros financieros
  • Listas de sanciones (por ejemplo, OFAC, UE, ONU, BOE, FBI, BIS, etc.)
  • Listas mundiales de cumplimiento de la normativa y procedimientos judiciales (por ejemplo, FDA, US HHS, UK FSA, SEC, etc.)
  • Listas de empresas estatales
  • Listas de personas políticamente expuestas (PEP)

Las redes de inteligencia de riesgos y los servicios de elaboración de perfiles de riesgo pueden ayudar a automatizar este proceso. Cuando se seleccionen nuevos proveedores, asegúrese de contar con un sólido proceso de gestión del ciclo de vida de los contratos para agilizar y asegurar el proceso.

4. Centralizar la visibilidad de los perfiles de los proveedores

Crear y mantener una base de datos centralizada de proveedores es esencial para garantizar un programa SRM eficaz. La base de datos debe incluir perfiles completos de proveedores y proporcionar acceso basado en roles a los contactos de la empresa, datos demográficos, conexionesde 4ª y 5ª parte, e inteligencia de riesgos, empezando por cualquier dato de riesgo perfilado e información de riesgo externo capturado durante la etapa de abastecimiento y selección.

5. Clasificar y jerarquizar a los proveedores en función del riesgo inherente

Para garantizar la eficacia del programa de SRM y hacer el mejor uso de los recursos limitados, querrá clasificar y jerarquizar a sus proveedores en función de su riesgo inherente. Como se ha comentado anteriormente, el riesgo inherente es el riesgo de un proveedor antes de tener en cuenta cualquier control específico requerido por su organización. Una puntuación eficaz del riesgo inherente (véase el gráfico a continuación) puede combinar datos procedentes de cuestionarios internos sencillos, así como de cualquier dato externo sobre riesgos recopilado durante la fase de contratación.

Matriz de riesgos para proveedores

Un sencillo cuadro de puntuación de riesgos SRM

6. Realizar evaluaciones periódicas de los riesgos para garantizar el cumplimiento

Una vez que sus proveedores estén perfilados, categorizados y clasificados por niveles, debería ser fácil determinar la frecuencia y el alcance de las futuras evaluaciones de riesgos para cada categoría de proveedor. Por ejemplo, puede realizar evaluaciones anuales de los proveedores críticos en función de las normas del sector, los mandatos normativos o los requisitos organizativos específicos. Las evaluaciones pueden solicitar información sobre controles de seguridad internos, planes de continuidad de la actividad empresarial, planes de recuperación en caso de catástrofe, etc. Para más detalles sobre los tipos de evaluación, consulte nuestra entrada de blog, Cómo seleccionar un cuestionario de evaluación de riesgos de proveedores.

7. Supervisar continuamente los nuevos riesgos de los proveedores

Los riesgos de los proveedores surgen constantemente en respuesta a la rápida evolución del entorno económico, geopolítico y de ciberseguridad. Por lo tanto, es importante vigilar continuamente a sus proveedores críticos para detectar nuevos riesgos comerciales, financieros, de reputación y cibernéticos. Esta información puede utilizarse para ajustar las puntuaciones de riesgo de los proveedores y activar actividades de respuesta, mitigación y corrección, como la contratación de nuevos proveedores, la modificación de las rutas de envío o la exigencia de nuevas evaluaciones.

8. Garantizar el cumplimiento de los acuerdos de nivel de servicio y los requisitos de rendimiento

Muchos de los mecanismos de evaluación y supervisión analizados en este artículo también pueden personalizarse para evaluar el rendimiento de los proveedores con respecto a los acuerdos de nivel de servicio y otros requisitos contractuales. Empiece por establecer indicadores clave de rendimiento (KPI) del proveedor y asigne umbrales y propietarios para cada KPI en función de los atributos del contrato. Una plataforma automatizada puede activar alertas cuando no se alcanzan los KPI o cuando se superan los indicadores clave de riesgo (KRI).

9. Protegerse de los riesgos cuando finalizan los contratos con los proveedores

En la gestión del riesgo de los proveedores, a menudo se pasa por alto el proceso de desvinculación, por lo que los riesgos de seguridad suelen aumentar una vez finalizado el contrato. Por eso es fundamental revisar los perfiles de los proveedores que se dan de baja y llevar a cabo evaluaciones de desvinculación. Estas evaluaciones pueden utilizarse para validar el cumplimiento de las condiciones finales del contrato, la realización de las entregas, la revocación del acceso físico o informático, la devolución de los activos y la destrucción de los datos confidenciales. He aquí una lista de comprobación para empezar.

Consejos para su programa SRM

Reconocer que el riesgo del proveedor no se limita a terceros

El riesgo de una organización no se limita a sus asociados y proveedores directos (terceras partes). El daño también puede ser introducido por sus socios, también conocidos como "cuartas partes", así como por aquellos más profundos en la cadena de suministro. El reto de reconocer a estas organizaciones, los riesgos asociados que plantean las terceras partes y su capacidad para administrar y aplicar controles contra esos riesgos es hoy motivo de gran preocupación para las empresas. La complejidad que supone evaluar y responder a este tipo de riesgos requiere un Programa de Gestión de Riesgos de Terceros sólido y completo .

Crear planes de respuesta a incidentes para los principales proveedores

No importa lo sólidos que sean sus programas de SRM y aprovisionamiento, siempre surgirán problemas. Para las partes especialmente críticas de su cadena de suministro, tómese el tiempo necesario para diseñar planes de contingencia que le permitan una transición rápida en caso de incidente. Esto puede significar la diferencia entre interrupciones generalizadas en toda la organización o un pequeño contratiempo en las operaciones. Cuanto más importante sea el proveedor, más importante es que elabore planes de respuesta a incidentes específicos y viables.

Implantar un programa de formación SRM

Para las grandes organizaciones, puede resultar extraordinariamente difícil garantizar unas cadenas de suministro seguras y sólidas en toda la empresa. Los distintos departamentos pueden tener sistemas separados para el abastecimiento y la selección de proveedores, por lo que puede resultar complicado identificar y hacer un seguimiento de todos los proveedores externos (y sus cadenas de suministro, a su vez).

Un programa de formación de SRM puede ayudar a alinear a los responsables de la toma de decisiones en toda la organización y proporcionar normas claras sobre cómo las personas y los departamentos deben incorporar, supervisar, gestionar y dar de baja a terceros. Sin normas claras que se hayan comunicado adecuadamente de manera uniforme, un programa de SRM puede descarrilar rápidamente.

Próximos pasos

¿Se pregunta cómo empezar? Obtenga más información sobre nuestras soluciones para la gestión del riesgo de proveedores, nuestro servicio de supervisión del riesgo de proveedores y nuestro servicio de diligencia debida de aprovisionamiento. ¿Le interesa saber si las soluciones y servicios de Prevalent pueden ser adecuados para su organización? Solicite una demostración.

Nota de la Redacción: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido se ha actualizado desde entonces para incluir información alineada con nuestras ofertas de productos, cambios normativos y cumplimiento.
Potenciar. Automatizar. Elevar. Mitratech

©2026 Mitratech, Inc. Todos los derechos reservados.

Potenciar. Automatizar. Elevar. Mitratech

©2026 Mitratech, Inc. Todos los derechos reservados.