We don’t really know what all the fuss is about. After all, the process of assessing your third parties isn’t that difficult, is it? Determine vendors to assess. Design questionnaire to assess vendor. Send questionnaire to vendor. Receive questionnaire back from vendor. Ask vendor for more information. And more information. Wait. Wait some more. Get answers back from vendor. Populate spreadsheet. Upload to SharePoint. Tell vendor where they’re short on controls and need remediations. Perform some validation stuff. Report on said controls. Repeat for the next <insert number here> vendors. Then do it all again next year. For all of them. Easy, peasy, lemon squeezy, right?
Incorrecto. Muy, muy incorrecto. De hecho, no podría estar más «incorrecto».
Los últimos años han traído consigo cambios significativos en la práctica, por lo demás desalentadora, de la gestión de riesgos de terceros. El aumento de los estándares para facilitar la presentación de informes, una mayor automatización para reducir la carga que supone evaluar el ecosistema de proveedores y el creciente número de prácticas de servicios profesionales apuntan a un alivio en el horizonte para los equipos de gestión de riesgos sobrecargados.
Por lo tanto, teniendo en cuenta el estado actual de la gestión de riesgos de terceros, aquí tenemos una visión del año que viene según nuestro equipo de expertos: Brad Hibbert, director de operaciones y director de seguridad; Alastair Parr, vicepresidente sénior de productos y entrega globales, y Brenda Ferraro, vicepresidenta de riesgos de terceros.
1. La gestión de riesgos de terceros finalmente obtiene la financiación que necesita.
Aunque está claro que el riesgo de los proveedores es una disciplina clave que debe adoptarse, los gestores de riesgos siguen teniendo dificultades para obtener la visibilidad, el apoyo y la inversión necesarios para implementar un programa estratégico en toda la empresa. Como resultado, sigue existiendo una reconocida falta de coherencia y urgencia en la forma en que se gestionan y supervisan los proveedores en toda la empresa. En consecuencia, la gestión del riesgo y la eficacia del programa se ven gravemente limitadas.
Incluso en los casos en los que el riesgo de los proveedores tiene una visibilidad adecuada respaldada por un claro impulso comercial o de cumplimiento, las tareas comunes, desde obtener una fuente precisa de perfiles de proveedores e información de contacto a nivel interno, hasta solicitar respuestas de evaluación y demostrar el valor del programa a los ejecutivos, siguen suponiendo un reto para el éxito del programa. A medida que las organizaciones siguen sintiendo el impacto de los fallos de los proveedores, vemos que piensan de forma más estratégica sobre sus programas de gestión de proveedores.
2. El papel del gestor de proveedores se transforma en inteligencia de riesgos de proveedores, pero las herramientas deben estar a la altura.
La información sobre los proveedores suele estar dispersa y oculta en los silos de diversas herramientas de abastecimiento, proveedores, contratos, operaciones, riesgos y seguridad. A medida que las organizaciones siguen dependiendo cada vez más de los productos y servicios prestados por terceros, vemos cómo el papel de los gestores de proveedores y las oficinas de gestión de proveedores se amplía más allá de la perspectiva técnica y de cumplimiento tradicional para incluir un punto de vista más global que abarca los riesgos estratégicos, financieros, legales, de sostenibilidad y operativos. Aunque los gestores de proveedores y los gestores de riesgos pueden no ser responsables de remediar los riesgos identificados, sí serán responsables de recopilar, cuantificar, priorizar y comunicar estos riesgos a las partes internas responsables.
Para respaldar este punto de vista más estratégico del riesgo de los proveedores, observamos una evolución de los productos de gestión del riesgo de los proveedores, que están madurando para dar soporte a programas más amplios con avances en las funciones y una integración más estrecha con los sistemas y departamentos internos. Ya hemos observado un aumento en la frecuencia de las solicitudes de los clientes para la integración en soluciones ITSM y GRC. Esperamos que estas solicitudes de integración continúen y se amplíen para incluir otros sistemas internos de gestión empresarial y de riesgos.
3. La gestión de riesgos de terceros evoluciona más allá del cumplimiento normativo (hasta cierto punto)
Vemos que la mentalidad está pasando de los temidos requisitos de cumplimiento, que a menudo se eluden, a un programa estratégico y habilitador que cuenta con el apoyo y la visibilidad de los niveles ejecutivos y directivos. Aunque esta evolución es emocionante y amplía el valor del programa a los distintos departamentos que dependen y apoyan la relación con los proveedores (por ejemplo, el departamento jurídico, de compras o de TI), creemos que el principal caso de uso y la justificación empresarial en 2020 seguirán siendo abordar de forma proactiva los controles de cumplimiento, abordar uno o varios resultados de auditorías o responder a un incidente de seguridad o una violación de datos.
4. Adiós a las evaluaciones puntuales. ¡Hola a las evaluaciones continuas y proactivas!
Uno de los requisitos fundamentales —y a veces abrumadores— de un programa de gestión de proveedores es el proceso de evaluación de los proveedores mediante un cuestionario basado en controles. Por lo general, este proceso de encuesta se inicia cuando se incorporan los proveedores y luego se establece un intervalo predefinido en función de la importancia y/o la exposición de los proveedores, y la mayoría se programa con periodicidad anual. Sin embargo, en los entornos empresariales dinámicos e interconectados de hoy en día, la información sobre riesgos que tiene 12 meses de antigüedad está más que obsoleta.
Esta información restringida y desactualizada sobre los proveedores hace que muchas organizaciones cuestionen la relevancia del análisis de riesgos de los proveedores y su valor en la toma de decisiones relacionadas. Por ejemplo, si un proveedor ha implementado nuevos procesos o tecnologías para abordar áreas de control específicas, una organización no debería tener que esperar hasta la próxima reevaluación anual para obtener visibilidad sobre estas inversiones. Las organizaciones buscan alejarse de las evaluaciones «puntuales» y adoptar una metodología de evaluación más continua. Las organizaciones trabajan en entornos dinámicos en los que la competencia, la seguridad, el cumplimiento normativo y otros factores pueden cambiar rápidamente. Para seguir siendo eficaces, los programas de TPRM deben ser capaces de adaptarse.
5. El auge del análisis predictivo avanzado para identificar valores atípicos
A medida que las organizaciones buscan ampliar sus programas de proveedores, aumentar la frecuencia de las actualizaciones y ampliar el alcance de la visibilidad de los riesgos, todo ello con el fin de mejorar el valor de los programas, también se enfrentan al reto de analizar, priorizar y responder al creciente volumen de información. ¿En qué proveedores debo centrarme? ¿Qué elementos de riesgo debo tener en cuenta? ¿Qué medidas correctivas tendrán el mayor impacto global en la mejora de la seguridad y el cumplimiento normativo? Para aumentar la capacidad y la eficacia de los programas, las organizaciones deben empezar a adoptar análisis avanzados que proporcionen información adicional y automaticen procesos como la identificación de valores atípicos, la creación de conclusiones automatizadas, la recomendación de medidas correctivas y la activación de automatizaciones y flujos de trabajo.
6. Las calificaciones de seguridad y las herramientas de puntuación se convierten en un producto básico.
Los servicios de calificación de seguridad son una herramienta importante para proporcionar visibilidad sobre dónde pueden estar los riesgos explotables de una empresa frente al público, pero los clientes se han dado cuenta de que el escaneo externo solo muestra la mitad de la historia del riesgo de terceros. El resultado de esta evolución es que los proveedores de herramientas SRS se ven obligados a comparar sus velocidades y feeds (quién tiene el mejor escaneo de la web oscura, quién incluye más entradas, etc.), lo que nos indica que el mercado actual de SRS seguirá mercantilizándose. Lo que se verá en los próximos 12 meses es un menor enfoque en las fuentes de amenazas (todas ellas están mejorando bastante) y un mayor enfoque en la integración de la inteligencia proporcionada en un proceso de gestión de riesgos más amplio que incluya contexto adicional, cuantificación, priorización y capacidades de remediación.
¿Qué opinas sobre el próximo año en materia de riesgos de terceros? ¡Nos gustaría conocer tu opinión! Y permanece atento a la segunda parte de nuestra visión sobre el próximo año en TPRM, que publicaremos la semana que viene.
Mientras tanto, póngase en contacto con nosotros hoy mismo para obtener más información sobre cómo Prevalent puede ayudarle a desarrollar y madurar su programa de gestión de riesgos de terceros.
Nota de la Redacción: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido se ha actualizado desde entonces para incluir información alineada con nuestras ofertas de productos, cambios normativos y cumplimiento.
