Siempre me fascinan aquellas personas que afirman que solo se necesitan 200, 250, 300 {rellene usted el espacio en blanco} preguntas para evaluar a un proveedor. Llevo varias décadas dedicándome a esto y aún no he encontrado un número mágico que satisfaga la evaluación/análisis de riesgos requerido. Ahora bien, antes de que se lance a una diatriba sobre lo excesivamente complicada y laboriosa que se ha vuelto la evaluación de riesgos de los proveedores, pongámonos de acuerdo por un momento.
- ¿Hemos hecho demasiadas preguntas a lo largo de la historia? Sí.
- ¿Hemos fallado a la hora de adaptar adecuadamente los cuestionarios de evaluación al tipo de servicio prestado? Por supuesto.
- ¿Buscamos una solución rápida para evitar realizar el trabajo fundamental necesario para establecer los requisitos de evaluación de proveedores? Siempre.
Pero no permitamos que los fracasos del pasado hagan que el péndulo se desplace tanto en la otra dirección que no podamos evaluar adecuadamente el riesgo de los proveedores. Desde luego, no en un momento en el que la cantidad de externalizaciones sigue aumentando, junto con el riesgo asociado a ellas.
Tantas preguntas, tan poco tiempo
Mi respuesta habitual al comentario «son demasiadas preguntas» es preguntar qué áreas de riesgo no son esenciales evaluar en función de lo que este proveedor hace por usted. ¿Le preocupan la seguridad de las aplicaciones, la resiliencia empresarial, el control de acceso o una miríada de otras áreas de control de riesgos? Estas son las áreas de control que deben evaluarse para determinar qué preguntas son necesarias, no un número aleatorio.
Siempre he sido un firme defensor de las evaluaciones con un alcance adecuado. No definir correctamente el alcance de una evaluación supone una carga innecesaria para todos. Los proveedores deben rellenar un cuestionario que poco tiene que ver con sus servicios, lo que a menudo aumenta el tiempo que tardan en responder y reduce la probabilidad de que lo hagan cuando lo necesitas (por no hablar del impacto que esto tiene en tu relación con ese proveedor).
También aumenta la carga de trabajo para la revisión de las evaluaciones. Cada pregunta formulada y respondida debe ser revisada. Supongamos que sus evaluaciones incluyen 30 preguntas innecesarias, entonces sus analistas ahora están evaluando 30 preguntas adicionales. Puede que no parezca mucho, pero si lo multiplicamos por el número de evaluaciones realizadas cada año, la cifra asciende rápidamente a cientos, si no miles. Esto reduce efectivamente el número de evaluaciones que puede completar un evaluador individual.
Las evaluaciones con un alcance adecuado dan muy buenos resultados.
Por lo tanto, evite el juego de los números y dedique el tiempo necesario para evaluar adecuadamente en función del tipo de datos, el acceso al sistema y la resiliencia empresarial (o cualquier otro factor que se ajuste a su apetito de riesgo). Descubrirá que puede lograr un buen equilibrio entre la gestión del riesgo de los proveedores y la carga que supone para todos los implicados completar las evaluaciones.
Más información sobre el enfoque integral de Prevalent para la gestión de riesgos de terceros.
Brad Keller lleva más de 25 años desarrollando y dirigiendo programas de gestión de riesgos. Actualmente, Brad es director sénior de Estrategia de Terceros en Prevalent, Inc., donde se centra en la prestación de soluciones de gestión y evaluación de riesgos de terceros de Prevalent.
Nota de la Redacción: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido se ha actualizado desde entonces para incluir información alineada con nuestras ofertas de productos, cambios normativos y cumplimiento.
