La práctica de la gestión de riesgos de terceros (TPRM) está evolucionando rápidamente debido a la creciente preocupación por las vulnerabilidades de la cadena de suministro, las violaciones de datos y las presiones normativas. Si bien 2024 resultó ser un año bastante agitado en lo que respecta a la gestión de riesgos de terceros, los avances de 2025 impulsarán un mayor enfoque en la resiliencia empresarial, la transparencia y la sostenibilidad, facilitados por la inteligencia artificial y otras tecnologías relacionadas.
Este artículo analiza las siete principales predicciones para la gestión de riesgos de terceros en 2025.
#1. La IA permitirá la elaboración de informes predictivos y comparativos y acelerará los flujos de trabajo de evaluación y documentación.
2024 fue el año en que la IA tuvo su gran avance en TPRM, por lo que es lógico pensar que la IA y el aprendizaje automático seguirán desempeñando un papel fundamental en 2025, a medida que las organizaciones maduren en el uso de la IA para automatizar las evaluaciones de riesgos, mejorar la toma de decisiones y detectar posibles problemas con mayor rapidez.
En 2025, los sistemas basados en inteligencia artificial ayudarán a las organizaciones a supervisar los riesgos de terceros en tiempo real, aprovechando sus grandes modelos de lenguaje (LLM) para analizar grandes conjuntos de datos e identificar patrones que podrían indicar riesgos emergentes. Además, se espera que la inteligencia artificial mejore la forma en que las organizaciones examinan las pruebas justificativas y determinan las contradicciones entre las respuestas de las evaluaciones y la documentación.
Sin embargo, unas políticas sólidas de seguridad de los datos, transparencia y gobernanza son esenciales para el éxito de la IA. Las cifras lo confirman. En 2024, solo el 5 % de las empresas afirmaron utilizar activamente la IA en sus programas de TPRM debido a la falta de gobernanza, mientras que el 61 % estaban investigando casos de uso de la IA. Esperamos que esto cambie en 2025, a medida que las empresas se sientan más cómodas utilizando la IA para automatizar tareas y generar informes.
#2. La expansión normativa armonizará los requisitos e impulsará una mayor diligencia debida.
Se espera que los gobiernos y los organismos reguladores de todo el mundo amplíen los requisitos de gestión de riesgos de terceros, especialmente en lo que respecta a la privacidad de los datos, los criterios ESG (medioambientales, sociales y de gobernanza) y la resiliencia empresarial. Las empresas transfronterizas se enfrentarán a retos de cumplimiento más complejos, pero también es posible que se produzcan esfuerzos para armonizar las normativas a nivel mundial con el fin de simplificar el cumplimiento.
Las empresas se verán cada vez más obligadas a mejorar su evaluación de los proveedores externos en dos áreas principales: su resiliencia y su impacto medioambiental. La DORA servirá como fuente para desarrollar amplias medidas de resiliencia operativa en el sistema financiero estadounidense, complementando los esfuerzos de la Oficina del Contralor de la Moneda (OCC). El auge de las normativas ESG, como la CSRD y la CSDDD de la UE, obligará a las empresas a examinar minuciosamente las prácticas de sostenibilidad de sus socios, incluidas la huella de carbono, las prácticas laborales y el abastecimiento ético.
#3. Los factores geopolíticos impulsarán el seguimiento de los posibles riesgos de concentración y resiliencia.
Siguiendo con el tema de la resiliencia, la continua inestabilidad regional en Oriente Medio, África Oriental, el Mar de China Meridional y Ucrania obligará a las organizaciones a examinar sus ecosistemas ampliados de terceros. Las organizaciones tratarán de anticiparse a las perturbaciones y evitar cualquier posible problema relacionado con las sanciones mediante un análisis mejorado de los propietarios finales (UBO) y las personas clave. Las empresas tratarán de ampliar los datos firmográficos de los proveedores para obtener una mayor claridad y comprender los riesgos de concentración regional y tecnológica, con el fin de reducir el riesgo de interrupción del servicio.
#4. La responsabilidad por los riesgos de terceros se integra en la cultura empresarial.
Durante años, la gestión de riesgos de terceros estuvo a cargo de los equipos de seguridad informática debido a los riesgos que entrañaba la externalización y la creciente dependencia de las infraestructuras informáticas. Y aunque el aumento de las amenazas cibernéticas y las violaciones de seguridad de gran repercusión mediática que afectan a proveedores externos siguen siendo motivo de preocupación, las organizaciones tendrán que mejorar la colaboración en toda la organización para lograr resultados en materia de riesgos. A medida que los riesgos evolucionan y surgen otros nuevos (incluso riesgos no relacionados con la seguridad), ¿quién se encargará de la gestión de riesgos de terceros?
El año 2025 será un año crucial en el que el riesgo de terceros pasará a manos de los equipos de riesgo empresarial, de modo que, como disciplina, pueda integrarse más fácilmente en los procesos empresariales transversales. Es de esperar que los equipos de compras también desempeñen un papel más importante en la gestión del riesgo de terceros, ya que el abastecimiento, la diligencia debida y la salida de proveedores tienen una fuerte vinculación con la gestión de riesgos.
#5. Se requerirá la presentación de informes centralizados sobre riesgos de GRC y TPRM para obtener una perspectiva consolidada de la junta directiva.
Al convertirse en parte del tejido cultural de la gestión de riesgos empresariales, el TPRM evolucionará de forma natural hacia casos de uso más amplios de gobernanza, gestión de riesgos y cumplimiento normativo (GRC). Los consejos de administración y la alta dirección requerirán una visión consolidada de los riesgos, independientemente de su origen interno o externo, puntuados y explicados en función de su impacto en el negocio. Prepárese para esta tendencia creando e informando sobre indicadores clave de riesgo consolidados que puedan ser utilizados por públicos empresariales y no técnicos.
N.º 6. La agregación de riesgos mejora el enfoque en la resiliencia empresarial.
Debido a la continua prevalencia de incidentes de ciberseguridad relacionados con terceros, las empresas deberán evaluar no solo a cada tercero individualmente, sino también el riesgo agregado en todo su ecosistema. Comprender cómo los riesgos interconectados de diversos terceros pueden propagarse y afectar a la organización será clave para desarrollar la resiliencia de la cadena de suministro.
Para prepararse para esta tendencia, se debe realizar un seguimiento continuo y agregado de múltiples ámbitos de riesgo, como el cibernético, el operativo, el reputacional, el ESG y el financiero. Con datos en tiempo real e información sobre los riesgos, las organizaciones pueden identificar inmediatamente los cambios en los perfiles de riesgo de sus terceros, mejorando su capacidad para mitigar las amenazas emergentes a la resiliencia de su negocio.
#7. Los incidentes de seguridad de terceros alcanzan un punto crítico
El número de incidentes de ciberseguridad relacionados con terceros ha crecido exponencialmente en los últimos tres años, pasando del 21 % de las empresas que informaron de un incidente relacionado con terceros en 2021 a más del 60 % en 2024. La gravedad de las violaciones de terceros también ha aumentado, con millones de personas afectadas solo por el incidente de Change Healthcare. Dado que las organizaciones de servicios financieros y de atención médica ya son blanco frecuente de ataques de terceros, se espera que los ciberdelincuentes amplíen sus esfuerzos en 2025 atacando a terceros que prestan apoyo a industrias sensibles y de alto perfil, como instituciones educativas, gobiernos estatales y fabricantes.
Próximos pasos
De cara al 2025, la gestión de riesgos de terceros está llamada a experimentar una importante evolución. El continuo avance de la inteligencia artificial, junto con la armonización de las normativas y el énfasis en la resiliencia, mejorarán la eficacia y la eficiencia de los programas de TPRM. Al adoptar estas innovaciones y tendencias, las organizaciones pueden mantenerse a la vanguardia en la gestión eficaz de los riesgos de terceros y adaptarse al panorama cambiante de las asociaciones comerciales y los requisitos normativos.
Para obtener más información sobre cómo Prevalent puede ayudarle a madurar su programa TPRM para abordar estos y otros retos, solicite una demostración hoy mismo.
Nota de la Redacción: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido se ha actualizado desde entonces para incluir información alineada con nuestras ofertas de productos, cambios normativos y cumplimiento.
