Cuando las empresas trabajan con socios o proveedores externos, deben asegurarse de que estos terceros no introduzcan riesgos que puedan perjudicar a la empresa. La gestión de riesgos de terceros (TPRM) aborda esta preocupación. Un componente clave de la TPRM es la puntuación de riesgos de terceros, seguida de cerca por la clasificación de riesgos de los proveedores.
Comprender estos conceptos es esencial para construir una base sólida para la gestión de riesgos de terceros. En esta publicación, definimos la puntuación y la clasificación de riesgos, explicamos cómo encajan en su programa general de TPRM y recomendamos las mejores prácticas para su implementación.
¿Qué es la puntuación de riesgo de terceros?
La puntuación de riesgo de terceros es el proceso de evaluar y asignar un valor numérico a los riesgos potenciales que un socio o proveedor externo podría suponer para una empresa. Esta puntuación ayuda a determinar el riesgo que supone trabajar con ese tercero basándose en factores como sus prácticas de seguridad, su estabilidad financiera y su historial de cumplimiento normativo.
La puntuación de riesgo implica:
- Identificación de riesgos: Determinar los riesgos potenciales, tales como violaciones de datos, inestabilidad financiera y problemas de cumplimiento normativo.
- Evaluación de riesgos: recopilar información sobre cada tercero, incluyendo su salud financiera, prácticas de seguridad e historial de cumplimiento normativo.
- Puntuación de riesgos: Asigne una puntuación basada en el nivel de riesgo que representa cada tercero. Por ejemplo, una empresa con prácticas de seguridad sólidas obtiene una puntuación de riesgo baja, mientras que una con frecuentes violaciones de seguridad obtiene una puntuación de riesgo alta.
¿Qué es la clasificación de riesgos de terceros?
La clasificación de riesgos de terceros es el proceso de categorizar a los socios o proveedores externos en diferentes niveles o categorías en función de sus puntuaciones de riesgo. Estas categorías ayudan a las empresas a priorizar y gestionar sus relaciones con terceros según el nivel de riesgo que presenta cada socio.
La clasificación por niveles implica:
- Creación de niveles: Decida los diferentes niveles, como riesgo alto, medio y bajo.
- Asignación de terceros a niveles: Coloque a cada tercero en el nivel adecuado en función de su puntuación de riesgo.
- Gestión por niveles: Gestione las relaciones con terceros en función de su nivel. Los socios de alto riesgo requieren revisiones más frecuentes y una supervisión más estricta, mientras que los socios de bajo riesgo necesitan un seguimiento menos intensivo.
¿Por qué es importante evaluar los riesgos y clasificar a los proveedores?
Los distintos terceros plantean diferentes niveles de riesgo. Los criterios para cada nivel variarán en función de la naturaleza del proveedor. Por ejemplo, un proveedor de piezas tiene criterios diferentes a los de un servicio de alojamiento en la nube. Calcular y clasificar el riesgo es importante para:
- Protección:
Ayuda a proteger a su empresa de posibles infracciones y violaciones de la privacidad atribuibles a terceros de riesgo. - Eficiencia:
Le permite concentrar los recursos en supervisar y gestionar a los socios más arriesgados. - Cumplimiento normativo:
Garantiza el cumplimiento de los requisitos normativos mediante la gestión sistemática de los riesgos de terceros.
Al comprender e implementar la puntuación y clasificación de riesgos de terceros, las empresas pueden gestionar mejor sus relaciones externas, minimizar los riesgos y mejorar la estabilidad operativa general.
Utilizar la puntuación para normalizar los resultados y proporcionar información práctica
Es fundamental comprender el impacto potencial que puede tener el incumplimiento de un proveedor a la hora de entregar productos o prestar servicios. Aproveche un sistema de puntuación para determinar el nivel de cada proveedor basándose en criterios como:
- Procesos operativos o de cara al cliente
- Interacción con datos protegidos
- Situación financiera e implicaciones
- Obligaciones legales y reglamentarias
- Reputación
- Geografía (por ejemplo, riesgo de concentración)
Una vez definidos los niveles de proveedores, identificar a los proveedores más importantes resulta sencillo. Por ejemplo, puede generar un informe sobre todos los proveedores de primer nivel con sede en EE. UU. que manejan datos personales.
Al haber verificado la información en una fase temprana del proceso y en una ubicación de fácil acceso, se pueden adaptar las iniciativas de diligencia debida, centrarse en los proveedores de mayor riesgo y acelerar el proceso en su conjunto.
¿Cómo se puntúan los riesgos de los proveedores?
El cálculo básico para puntuar el riesgo de un proveedor es Probabilidad x Impacto = Riesgo. Por ejemplo, consideremos un proveedor que presta servicios informáticos críticos a una institución financiera, pero que no cumple con las normas de ciberseguridad del sector. El impacto podría ser una pérdida financiera significativa y un daño a la reputación debido a una posible violación de datos (por ejemplo, un impacto importante o grave), y la probabilidad es la probabilidad de que un ciberataque tenga éxito debido al incumplimiento del proveedor (por ejemplo, probable o extremadamente probable). Este escenario representa un riesgo inaceptable para cualquier institución financiera y probablemente daría lugar a la rescisión del contrato.
Utilice una matriz que combine probabilidad e impacto para determinar las puntuaciones de riesgo.
Este ejemplo subraya la importancia de realizar evaluaciones exhaustivas de los riesgos de los proveedores con una rúbrica de puntuación completa. Esto es especialmente crucial para las organizaciones que manejan información confidencial, como las instituciones financieras, los contratistas gubernamentales y los proveedores de atención médica. A menudo, las regulaciones responsabilizan a la organización principal por el incumplimiento de los proveedores, lo que enfatiza la necesidad de una supervisión diligente y una gestión de riesgos.
Mejores prácticas para la puntuación de riesgos de terceros
La puntuación de riesgos y la clasificación de proveedores son esenciales para la evaluación general del riesgo de los proveedores. Debe establecer controles y requisitos estandarizados. Sin embargo, no existe un proceso único para la evaluación del riesgo de los proveedores. Los diferentes proveedores presentan distintos niveles de riesgo para su organización, dependiendo de factores como:
- Criticidad para su cadena de suministro, como ser un proveedor único o exclusivo.
- Acceso a datos confidenciales, como información de identificación personal (PII), información médica protegida (PHI) o información comercialmente sensible (CSI).
- Susceptibilidad a eventos de continuidad, como desastres naturales o conflictos geopolíticos.
Contar con un proceso estructurado para cada categoría de proveedores hará que su programa de gestión de riesgos de terceros sea más eficiente y le ayudará a tomar mejores decisiones basadas en el riesgo sobre sus relaciones con los proveedores.
Defina su nivel aceptable de riesgo residual.
En un mundo perfecto, el riesgo podría eliminarse por completo. Sin embargo, cuando se trabaja con terceros, siempre existe cierto grado de riesgo. Antes de evaluar a los posibles proveedores, defina su nivel de riesgo aceptable. Este paso agiliza y hace más eficiente y uniforme la selección de proveedores y todo el proceso de gestión de riesgos de terceros. Le permite identificar fácilmente a los proveedores que no cumplirán con sus objetivos comerciales y su tolerancia al riesgo, y aclara qué controles debe exigir a los proveedores.
Puntuación del riesgo inherente
La puntuación del riesgo inherente es una parte fundamental del ciclo de vida de la gestión de riesgos de terceros. No todos los proveedores requieren el mismo nivel de escrutinio. Por ejemplo, un proveedor de material de oficina presenta un riesgo organizativo menor que uno que suministra piezas críticas o servicios jurídicos. Un proveedor ubicado en una zona políticamente inestable, con un historial de incumplimientos o un historial crediticio deficiente, supone un mayor riesgo y requiere una mayor diligencia debida.
Para comprender el riesgo de un proveedor, calcule el riesgo inherente, es decir, el nivel de riesgo del proveedor antes de aplicar ningún control específico. Esta referencia le servirá de guía a la hora de tomar decisiones sobre la diligencia debida necesaria. Una vez establecida la referencia del riesgo inherente, calcular el riesgo residual, es decir, el riesgo que queda después de aplicar los controles, resulta mucho más sencillo.
El riesgo inherente también es esencial para las decisiones relativas a la elaboración de perfiles, la clasificación por niveles y la categorización de los proveedores. Este enfoque agiliza las evaluaciones de riesgos al alinear las evaluaciones de los proveedores con los riesgos y las normas más relevantes para su empresa, sus clientes y los organismos reguladores.
Clasificación por niveles y categorías
Comience con unaevaluación interna de perfiles y niveles paraclasificar a sus proveedores y determinar el tipo, el alcance y la frecuencia de las evaluaciones necesarias para cada grupo. Un proceso estructurado para cada categoría de proveedores hace que su programa de gestión de riesgos de terceros sea más eficiente y permite tomar mejores decisiones basadas en el riesgo.
Aproveche la clasificación por niveles basada en evaluaciones de riesgo inherentes para priorizar los recursos y los esfuerzos. Los proveedores de alto riesgo, como los proveedores de facturación o nóminas, pueden requerir evaluaciones y supervisiones más exhaustivas. Para los riesgos residuales, adapte las estrategias de mitigación según la categorización por niveles, centrando los recursos en los proveedores de alto riesgo para garantizar el cumplimiento sostenido y la reducción del riesgo.
Aprovechar una biblioteca compartida
Los procesos de gestión de riesgos de terceros pueden suponer una carga para los equipos con pocos recursos. La recopilación de datos y las comunicaciones con los proveedores representan la mayor parte del tiempo necesario para reducir el riesgo y completar las evaluaciones. El panorama normativo en constante cambio, que requiere experiencia para interpretar las obligaciones de cumplimiento, agrava este problema. Lograr el cumplimiento y satisfacer los requisitos de gestión de riesgos de los proveedores, al tiempo que se maximizan las habilidades de su equipo, es un acto de equilibrio.
Para adaptarse a las limitaciones de recursos, muchas organizaciones, especialmente aquellas con un plan sólido de clasificación de proveedores, optan por aprovechar el contenido ya completado que se ha enviado y compartido dentro de un intercambio sectorial. Estos intercambios entre proveedores son profecías autocumplidas: cuantos más proveedores participan, mayor es el solapamiento con otras empresas. Esto acelera el proceso de identificación y mitigación de riesgos y minimiza el tiempo de recopilación de datos.
Asigne su evaluación de riesgos de proveedores a los requisitos de conformidad
Asegúrese de que los cuestionarios de riesgo de proveedores reflejen los requisitos de cumplimiento de su organización. Si su proveedor tiene acceso a información confidencial, como datos personales identificables, información médica protegida o datos financieros, adapte sus requisitos de cumplimiento a los cuestionarios de riesgo de proveedores. Las preguntas clave incluyen:
- ¿La organización cuenta con alguna certificación de normas o marcos de seguridad de la información de terceros? (por ejemplo, SOC 2, NIST 800-53, NIST CSF, CMMC)
- ¿Está la organización sujeta a requisitos de cumplimiento en materia de ciberseguridad o seguridad de la información? En caso afirmativo, ¿cuáles?
- ¿Qué políticas y procesos existen para compartir los datos de los clientes con terceras y cuartas partes?
No vaya solo
El uso de una plataforma TPRM puede acelerar considerablemente las evaluaciones de riesgo de los proveedores, ayudar a puntuar y clasificar a los proveedores, y relacionar rápidamente las respuestas a los cuestionarios con los requisitos de cumplimiento. Las soluciones específicas para la gestión de riesgos de terceros, como Prevalent, ofrecen cuestionarios de riesgo inherente integrados y personalizables que facilitan la identificación de los riesgos de los proveedores de forma fluida.
Descubra cómo puede simplificar y optimizar la gestión de riesgos de terceros con Prevalent. Programe hoy mismo una llamada estratégica o una demostración.
Nota de la Redacción: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido se ha actualizado desde entonces para incluir información alineada con nuestras ofertas de productos, cambios normativos y cumplimiento.
