La realización de una diligencia debida de terceros es una parte esencial de un programa integral de gestión de riesgos de terceros. Una sólida estrategia de diligencia debida proporciona información en una fase temprana para tomar decisiones más informadas sobre la selección de proveedores, clasifica a los proveedores en función de su riesgo potencial y combina evaluaciones de riesgo puntuales en profundidad con un seguimiento continuo a lo largo de la relación comercial.
¿Qué es la diligencia debida de terceros?
La diligencia debida de terceros es el proceso de investigar y evaluar los riesgos de trabajar con proveedores y distribuidores, un paso inicial fundamental en la gestión de riesgos de terceros. La diligencia debida, que es fundamental para garantizar la resiliencia operativa, el cumplimiento normativo y la seguridad, requiere recopilar y analizar datos sobre los riesgos de seguridad, financieros, operativos y de reputación que un tercero podría suponer para la organización.
Si bien la diligencia debida de terceros desempeña un papel esencial a lo largo del ciclo de vida del proveedor, es especialmente importante durante las etapas de búsqueda y selección, así como durante la admisión y la incorporación.
Directrices clave para la diligencia debida de terceros en el abastecimiento y la selección
Durante el proceso de búsqueda y selección de nuevos proveedores, puede resultar muy valioso llevar a cabo una diligencia debida preliminar sobre los terceros que se están considerando. Aunque es posible que no disponga de los recursos necesarios para realizar revisiones en profundidad de todos los posibles proveedores, es importante recopilar información inicial para evaluar el riesgo perfilado. El riesgo perfilado es el nivel de riesgo potencial de un proveedor basado en su ubicación, sector, uso de cuartos, propiedad y otra información observable externamente, como las finanzas y la reputación.
Considere plantear las siguientes preguntas de diligencia debida durante el proceso de selección y contratación:
- ¿A qué sistemas informáticos, datos e infraestructura podría acceder el proveedor para cumplir su contrato con mi organización? (Esta pregunta le informa sobre el perfil de riesgo del proveedor y le ayuda a clasificarlo para garantizar la adecuada realización de la diligencia debida de terceros).
- ¿Ha obtenido el proveedor certificaciones relacionadas con marcos de seguridad de la información como NIST CSF, SOC 2 o ISO 27001?
- ¿Ha sido objeto de acusaciones públicas por malas prácticas en materia de ESG o tiene antecedentes documentados de incumplimiento de las normas ESG? La mala reputación de un proveedor podría convertirse en un lastre para su empresa.
- ¿Cuál es la salud financiera del proveedor? La calificación crediticia y otras métricas financieras proporcionan información sobre la viabilidad del proveedor. Pueden revelar un posible problema de resiliencia empresarial si no pueden pagar a sus proveedores o cobrar a sus clientes.
Prácticas esenciales de diligencia debida de terceros durante la selección y la incorporación de proveedores
La admisión y la incorporación de proveedores representan una oportunidad para que su organización lleve a cabo una diligencia debida más exhaustiva. Muchas organizaciones se basan en cuestionarios detallados sobre los riesgos de los proveedores para obtener una comprensión más profunda de los controles de seguridad de la información, los proveedores externos y las prácticas ESG de un proveedor. Los programas maduros de TPRM definirán el alcance de sus iniciativas de diligencia debida para la admisión y la incorporación en función del nivel de riesgo perfilado del proveedor.
A continuación se indican algunas prácticas recomendadas para llevar a cabo la debida diligencia de los proveedores durante la admisión y la incorporación:
- Utilice un cuestionario de riesgo del proveedor que examine la postura de riesgo del proveedor, los controles de seguridad de la información y la cadena de suministro ampliada (también conocida como cuarta o enésima parte).
- Revise la cobertura del seguro de terceros, como el seguro de responsabilidad profesional, el seguro de responsabilidad civil general y el seguro cibernético.
- Revise detalladamente las políticas del proveedor sobre violaciones de datos y respuesta a incidentes, prestando especial atención a los requisitos de notificación.
- Realizar una verificación de antecedentes del personal clave que llevará a cabo el contrato.
- Revisar las políticas de retención y destrucción de datos de terceros.
¿Por qué es importante realizar una diligencia debida de terceros?
La gestión eficaz del riesgo de terceros es un reto importante para casi todas las organizaciones. La gestión del riesgo de terceros requiere un enfoque que tenga como objetivo comprender y mitigar el riesgo a lo largo de todo el ciclo de vida del riesgo de los proveedores. Llevar a cabo una diligencia debida eficaz sobre terceros le permite identificar los riesgos antes de firmar contratos y comprometer importantes recursos financieros y tiempo.
La diligencia debida de terceros también descubre riesgos ocultos en la cadena de suministro, como prácticas ESG deficientes o riesgo de concentración. Un programa maduro utiliza la diligencia debida para obtener visibilidad sobre su ecosistema de terceros, identificar riesgos inaceptables y exigir medidas correctivas.
¿Qué tipos de riesgos puede identificar la diligencia debida de terceros?
Una diligencia debida eficaz por parte de terceros es fundamental para identificar numerosos riesgos para su organización. A continuación se indican algunas categorías clave de riesgos que deben tenerse en cuenta:
Diligencia debida de terceros y riesgo de seguridad de la información
Aunque su organización invierta importantes recursos en su programa de seguridad informática, puede seguir siendo muy difícil proteger su cadena de suministro cibernética contra violaciones de datos por parte de terceros, ataques de ransomware y otros riesgos de seguridad. Esta tarea se vuelve aún más difícil a medida que su cadena de suministro se vuelve más compleja o depende en gran medida de asociaciones multinacionales.
Su proceso de diligencia debida con terceros debe evaluar a los posibles proveedores y vendedores para detectar niveles inaceptables de riesgo de ciberseguridad que podrían poner en peligro sus datos críticos o su infraestructura de TI. Esto debe incluir una evaluación inicial del riesgo de los proveedores, seguida de una supervisión continua de los riesgos en Internet y la web oscura para obtener información sobre nuevas vulnerabilidades, violaciones de datos y pruebas de filtración de credenciales.
Considere la posibilidad de aprovechar un marco de ciberseguridad comúnmente aceptado, como NIST, ISO, Shared Assessments SIG o SOC 2, para definir el alcance de sus preguntas de evaluación de riesgos de proveedores. A continuación, compare los resultados de esta evaluación con un marco de buenas prácticas que se ajuste al resto de la estrategia de gestión de riesgos empresariales de su organización.
Diligencia debida de terceros y riesgo ESG
Las cuestiones medioambientales, sociales y de gobernanza (ESG) de las empresas están cobrando cada vez más importancia tanto para los consumidores como para los inversores corporativos. Las cuestiones ESG son especialmente importantes para las organizaciones con muchos proveedores, ya que las cadenas de suministro globales extendidas pueden implicar en ocasiones trabajo forzoso, degradación medioambiental y/o corrupción. Antes de incorporar a un posible proveedor, aquí hay algunas preguntas que pueden resultar útiles:
- ¿El proveedor o distribuidor publica regularmente información sobre sus prácticas en materia de cadena de suministro, tal y como exigen las normativas ESG?
- ¿Tiene el proveedor o proveedor un historial de malas prácticas o infracciones en materia de ESG que puedan suponer un riesgo para la reputación o la ética de la organización?
- ¿Cuenta el proveedor o distribuidor con procesos de gobernanza para gestionar el riesgo ESG en toda su cadena de suministro ampliada?
- ¿El proveedor tiene una alta concentración de proveedores o vendedores externos en países con antecedentes de corrupción, degradación medioambiental o abusos contra los derechos humanos?
Diligencia debida de terceros y riesgos operativos
Los riesgos operativos pueden adoptar muchas formas, pero normalmente se reducen a la incapacidad de un tercero para cumplir sus obligaciones contractuales. Algunos terceros, como los que proporcionan bienes y servicios no críticos, pueden presentar riesgos operativos relativamente bajos. Sin embargo, otros, como los proveedores de TI, los proveedores de SaaS y los proveedores de componentes críticos, pueden presentar un gran riesgo operativo y deben contar con las medidas de resiliencia empresarial adecuadas para garantizar la continuidad.
Considere la posibilidad de formular preguntas durante la diligencia debida de terceros para evaluar el grado de riesgo operativo que plantea la organización:
- ¿Tiene el tercero un alto nivel de endeudamiento en comparación con sus ingresos?
- ¿Cuenta el tercero con un plan sólido de continuidad del negocio y recuperación ante desastres? ¿Se prueba de forma rutinaria mediante simulacros?
- ¿Depende en gran medida el tercero de determinados proveedores o distribuidores que podrían afectar a su capacidad para suministrar bienes y servicios en caso de interrupción o perturbación?
- ¿El tercero tiene su sede en una zona con un alto riesgo medioambiental, como huracanes o terremotos?
Mejores prácticas para la diligencia debida de terceros
La diligencia debida de terceros puede ser un proceso costoso, largo y que requiere mucho tiempo. Esto se aplica especialmente a las organizaciones que dependen en gran medida de los proveedores para el manejo y procesamiento de datos debido a implicaciones de seguridad, así como a aquellas con cadenas de suministro extendidas. A continuación, se presentan algunas prácticas recomendadas que puede emplear para mejorar la eficiencia y eficacia de su proceso de diligencia debida de terceros.
Proveedores de nivel para la eficiencia
Clasificar a los terceros según su nivel de riesgo ayuda a concentrar los recursos de manera más eficaz durante el proceso de diligencia debida. Durante la búsqueda y selección, evalúe la importancia de los bienes y servicios que proporcionará el tercero, así como el nivel de acceso a la tecnología de la información y a los datos que necesitará para cumplir el contrato. Esta información le permitirá clasificar a los proveedores y adaptar su programa de diligencia debida en función del grado y los tipos de riesgos que plantean.
Combinar los cuestionarios de riesgo de proveedores con la supervisión continua del riesgo
Aunque los cuestionarios de riesgo de los proveedores son fundamentales para una diligencia debida eficaz de terceros, por sí solos no recogen toda la información necesaria. Añada una supervisión continua del riesgo para validar los datos proporcionados por los proveedores y señalar problemas nuevos y emergentes, como violaciones de datos, vulnerabilidades de seguridad informática, interrupciones operativas, incidentes que afectan a la reputación y problemas financieros.
Una única diligencia debida no es suficiente
Las organizaciones con programas de gestión de riesgos menos maduros pueden dar por concluido su trabajo tras completar la diligencia debida inicial sobre un tercero. Sin embargo, pueden surgir nuevos riesgos a lo largo del ciclo de vida del riesgo del proveedor, incluso después de la salida y la rescisión del contrato. Supervise continuamente a sus terceros para detectar cambios en sus perfiles de riesgo después de la incorporación y realice evaluaciones de riesgo de forma rutinaria en función de la importancia del proveedor para su negocio.
Elija un marco repetible para simplificar las evaluaciones de riesgos
Considere estructurar sus evaluaciones de diligencia debida de terceros en torno a un marco común del sector. De este modo, su equipo podrá evaluar a los proveedores de forma coherente utilizando criterios similares y ofrecer recomendaciones de corrección basadas en las mejores prácticas habituales.
Mejore la diligencia debida de terceros con Prevalent
Los enfoques manuales de la diligencia debida de terceros complican la coordinación de las evaluaciones de los proveedores, el cumplimiento de los requisitos normativos y la satisfacción de las diferentes necesidades departamentales. La plataforma de gestión de riesgos de terceros de Prevalent automatiza y acelera el proceso de diligencia debida, al tiempo que proporciona una visión centralizada del riesgo de los proveedores y vendedores a las partes interesadas de toda su organización. Descubra cómo Prevalent puede simplificar sus iniciativas de diligencia debida de terceros solicitando una demostración hoy mismo.
Nota de la Redacción: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido se ha actualizado desde entonces para incluir información alineada con nuestras ofertas de productos, cambios normativos y cumplimiento.
