Estrategia y lista de verificación para la diligencia debida del proveedor

¿Qué es la diligencia debida del proveedor?

La diligencia debida con respecto a los proveedores consiste en evaluar los riesgos asociados a los proveedores externos antes de establecer una relación comercial. Ayuda a las organizaciones a identificar posibles amenazas, como riesgos de ciberseguridad, inestabilidad financiera o incumplimientos normativos, y garantiza que los proveedores cumplan con los estándares de seguridad, operativos y éticos de la organización.

El proceso de diligencia debida suele implicar una combinación de revisión de contratos, evaluaciones realizadas por los proveedores y recopilación de información externa sobre la empresa objetivo y sus subcontratistas. Todo ello se sopesa en última instancia en función del nivel de tolerancia al riesgo de su organización.

¿Por qué es crucial la diligencia debida del proveedor?

Los riesgos de terceros cambian constantemente, ya que las empresas dependen de una red cada vez más compleja y diversa de proveedores, prestadores de servicios y socios tecnológicos. A medida que las organizaciones crecen, entran en nuevos mercados y adoptan tecnologías emergentes, su ecosistema de proveedores se vuelve más complejo, y cada socio conlleva riesgos únicos.

Estos riesgos cambian con el tiempo debido a cambios en las relaciones y factores externos como actualizaciones normativas, cambios económicos o avances tecnológicos. Una asociación que antes era de bajo riesgo puede convertirse rápidamente en una de alto riesgo debido a cambios en la estabilidad financiera de terceros, problemas de ciberseguridad o nuevas normas reguladoras.

Llevar a cabo una diligencia debida eficaz sobre terceros le permite identificar los riesgos antes de firmar contratos y comprometer importantes recursos financieros y tiempo. La diligencia debida sobre los proveedores también descubre riesgos ocultos en la cadena de suministro, como prácticas ESG deficientes o riesgo de concentración. Un programa maduro utiliza la diligencia debida para obtener visibilidad sobre su ecosistema de terceros, identificar riesgos inaceptables y priorizar las áreas que requieren correcciones.

Fuentes comunes para recopilar datos sobre la diligencia debida de los proveedores:

• Cuestionarios sobre riesgos de los proveedores: Las organizaciones suelen utilizar cuestionarios exhaustivos para recopilar información sobre los procesos internos de un proveedor, incluidas las prácticas de seguridad, las políticas de cumplimiento y los protocolos de gestión de riesgos. Estos cuestionarios se adaptan para evaluar el perfil de riesgo del tercero.
• Bases de datos y registros públicos: Los registros públicos, como las bases de datos gubernamentales, los registros corporativos y las certificaciones profesionales, proporcionan información clave sobre la legitimidad, la estructura corporativa y el historial de cumplimiento normativo de un proveedor.
• Informes financieros y verificaciones de crédito: La estabilidad financiera es un área importante de preocupación. Las organizaciones recopilan estados financieros, realizan verificaciones de crédito o utilizan servicios para evaluar la salud económica de un tercero, incluyendo factores como la solvencia y la capacidad crediticia.
• Auditorías y certificaciones de terceros: los proveedores que cumplen con los estándares del sector suelen contar con certificaciones de terceros, como ISO 27001 o SOC 2. Estas certificaciones garantizan el cumplimiento por parte del proveedor de estándares específicos de seguridad y operativos.
• Servicios externos de supervisión de riesgos: los servicios externos proporcionan una supervisión continua de los riesgos mediante el seguimiento de la información disponible públicamente. Proporcionan alertas sobre infracciones de seguridad, disputas legales, sanciones reglamentarias o cobertura mediática negativa que puedan afectar al perfil de riesgo del proveedor.
• Noticias y reportajes en los medios: Los medios de comunicación y las agencias de noticias pueden proporcionar información sobre las actividades de los proveedores y cualquier controversia relacionada. Las noticias negativas sobre cuestiones medioambientales, sociales o legales pueden indicar posibles riesgos para la reputación. Investigue si el proveedor o sus personas clave son objeto de demandas judiciales en curso o pasadas, infracciones normativas o medidas adoptadas por organismos como la Oficina para la Protección Financiera del Consumidor (CFPB). Busque noticias o artículos adversos, especialmente aquellos relacionados con violaciones de la seguridad, comportamientos poco éticos o escrutinio normativo, que puedan indicar un riesgo reputacional u operativo.
• Compañeros del sector y referencias: Las organizaciones pueden ponerse en contacto con otros clientes del proveedor para obtener información sobre su fiabilidad, rendimiento y capacidad de respuesta. Las referencias proporcionan valiosos testimonios de primera mano sobre el trabajo anterior del proveedor y sus relaciones con los clientes.
• Listas de vigilancia y listas de sanciones: Las listas de sanciones, como las que mantienen el Tesoro de los Estados Unidos (OFAC), la Unión Europea o las Naciones Unidas, ayudan a identificar cualquier riesgo legal o normativo asociado a un proveedor. Las listas de vigilancia y las bases de datos de personas políticamente expuestas (PEP) también proporcionan información sobre posibles riesgos de cumplimiento y reputación. También es aconsejable revisar las listas de las fuerzas del orden y determinar si el personal clave de la organización del proveedor está clasificado como PEP o figura en los registros pertinentes de las fuerzas del orden.
• Políticas y procedimientos relacionados con el riesgo: revise las políticas y procedimientos internos del proveedor relacionados con la gestión de riesgos, la seguridad de los datos y el cumplimiento normativo. Comprender estos marcos le permitirá hacerse una idea más clara de su enfoque para minimizar tanto el riesgo operativo como el reputacional.
• Quejas y críticas negativas: compruebe si hay quejas de clientes, críticas negativas o insatisfacción pública con respecto a los servicios o la conducta del proveedor, tanto en línea como fuera de línea. Estas fuentes pueden revelar patrones y problemas que los informes formales podrían pasar por alto.
• Supervisión de la web oscura: La supervisión de la web oscura puede ayudar a identificar cualquier credencial comprometida o violación de datos asociada con el proveedor. Esta fuente de información es fundamental para comprender los posibles riesgos de ciberseguridad.
• Visitas a las instalaciones y auditorías operativas: en el caso de los proveedores de alto riesgo, la realización de auditorías o inspecciones in situ puede ayudar a validar la información sobre sus operaciones, la seguridad física y el cumplimiento de las mejores prácticas. Esto puede ofrecer una comprensión más profunda de cómo gestionan los procesos y los riesgos.
• Redes sociales y reseñas en línea: El análisis de los canales de redes sociales y las reseñas en línea puede proporcionar información sobre la percepción del público y la satisfacción de los clientes, lo que puede poner de relieve posibles riesgos para el servicio o la reputación. Además, supervisar la actividad del proveedor en las plataformas sociales puede ayudar a detectar señales de alerta, como declaraciones o acciones controvertidas por parte de los representantes de la empresa.

La mayoría de los equipos de compras tienen dificultades para comprender plenamente los riesgos de los proveedores, ya que muchas soluciones de diligencia debida precontractual proporcionan una evaluación interna o un informe financiero externo, pero no ambos. Esta visión fragmentada puede crear lagunas de riesgo y dar lugar a una exposición potencial. Busque soluciones TPRM integrales que combinen información sobre riesgos externos con capacidades de evaluación de riesgos personalizadas. Al reunir estos métodos, que van desde controles reglamentarios formales hasta evaluaciones de la opinión pública, se crea un proceso sólido para identificar los riesgos políticos y de reputación que podrían afectar a su organización.

Mejores prácticas de diligencia debida del proveedor

La diligencia debida de los proveedores puede ser costosa, larga y requerir mucho tiempo, especialmente para las organizaciones que dependen en gran medida de los proveedores para el manejo y procesamiento de datos debido a implicaciones de seguridad y aquellas con cadenas de suministro extendidas.

Recomendamos las siguientes prácticas recomendadas que puede emplear para mejorar la eficiencia y la eficacia de su proceso de diligencia debida de terceros.

• Defina el apetito de riesgo y el alcance: establezca la tolerancia al riesgo de su organización para determinar qué terceros necesitan una diligencia debida exhaustiva. Céntrese en la criticidad, la sensibilidad de los datos y los requisitos normativos.
• Proveedores por niveles para mayor eficiencia: clasifique a los proveedores por nivel de riesgo para asignar los recursos de manera eficaz. Esto le ayudará a priorizar la diligencia debida en función de la importancia de los servicios y el acceso a datos confidenciales. No todos los proveedores requieren el mismo nivel de escrutinio; la clasificación por niveles le permite adaptar su enfoque, garantizando que los proveedores de alto riesgo o críticos para la misión reciban evaluaciones más exhaustivas.
• Personalice y automatice los cuestionarios de riesgo: utilice cuestionarios de evaluación de riesgos adaptados al nivel de cada proveedor, al sector y a la sensibilidad de los datos o servicios a los que acceden. Incluya preguntas sobre protocolos de gestión de riesgos, planes de respuesta ante incidentes, historial de violaciones cibernéticas y prácticas de gobernanza. Siempre que sea posible, automatice estos cuestionarios para agilizar la incorporación y reducir la carga administrativa.
• Evaluar la superficie de ataque del proveedor: Analizar la superficie de ataque externa de cada proveedor para descubrir posibles brechas de seguridad en su infraestructura digital. Esta revisión técnica identifica vulnerabilidades que podrían ser explotadas y ayuda a priorizar los esfuerzos de corrección.
• Compruebe los marcos de ciberseguridad y el cumplimiento normativo: evalúe si los proveedores han adoptado marcos de ciberseguridad reconocidos, como ISO 27001, NIST o SOC 2, o si cumplen con normativas como el RGPD, la DORA o la NIS 2. Esto garantiza un estándar básico de seguridad de la información y un cumplimiento continuo.
• Supervisión continua, no solo una diligencia debida puntual: los riesgos evolucionan con el tiempo. Reevalúe periódicamente a los proveedores tras su incorporación y a lo largo de su ciclo de vida para detectar nuevos riesgos. La supervisión continua, ya sea mediante alertas automáticas, calificaciones de seguridad o revisiones periódicas, ayuda a identificar los problemas a medida que surgen, en lugar de esperar a las revisiones anuales.
• Utilice un marco repetible: Estructure las evaluaciones en torno a un marco industrial, como ISO 27001 o NIST 800-53, para garantizar la coherencia y proporcionar directrices claras para la corrección.
• Tenga en cuenta los riesgos de cuarta y enésima parte: mire más allá de los proveedores directos y evalúe los riesgos que plantean sus proveedores, conocidos como riesgos de cuarta o enésima parte.
• Documentar la aceptación interna de riesgos: cuando los socios comerciales sigan adelante a pesar de los riesgos, documentar los retos e involucrar a los equipos de auditoría interna para garantizar una gestión de riesgos más amplia.
• Establezca relaciones sólidas con los proveedores: fomente la confianza manteniendo una comunicación regular, tratando a los proveedores como socios y compartiendo conocimientos para mejorar la colaboración. Las cadenas de suministro son tan sólidas como su eslabón más débil, por lo que es esencial comprender el ecosistema ampliado.
• Visitas in situ y auditorías operativas cuando sea necesario: en el caso de proveedores de alto riesgo o impacto, realice visitas in situ para evaluar los controles de seguridad físicos y técnicos y validar las prácticas operativas. Estas auditorías ofrecen una visión más profunda de cómo los proveedores protegen sus datos y gestionan los riesgos en el día a día.

Al adoptar un enfoque por niveles basado en el riesgo y aprovechar tanto la automatización como la supervisión continua, su organización puede mejorar los resultados de la diligencia debida, asignar los recursos donde más se necesitan y mantener una postura proactiva frente a un panorama de riesgos en constante evolución.

Revisar las prácticas de los empleados para una mejor gestión de riesgos

Al evaluar a un proveedor, considere examinar sus protocolos de gestión de empleados. Después de todo, incluso la mejor tecnología o los mejores procesos pueden verse comprometidos por prácticas humanas deficientes.
Las prácticas clave de los empleados que se deben examinar incluyen:

• Contratación y verificación de antecedentes: determine si el proveedor realiza verificaciones exhaustivas de los antecedentes de todos los empleados, en particular de aquellos que tienen acceso a datos o sistemas confidenciales. Las deficiencias en este aspecto podrían exponerle a amenazas internas o infracciones de cumplimiento.
• Formación en ciberseguridad y concienciación: Pregunte por la frecuencia y el nivel de profundidad de la formación en ciberseguridad que se imparte a los empleados. Teniendo en cuenta que el uso indebido de privilegios y los errores humanos siguen siendo las principales causas de las brechas de seguridad, los proveedores deben impartir formación periódica y actualizada, en consonancia con marcos como la norma ISO 27001 o las directrices de organizaciones como ISACA.
• Controles de acceso y gestión de privilegios: examine cómo se concede, mantiene y revoca el acceso a los sistemas y datos críticos. ¿Sigue el proveedor el principio del mínimo privilegio? ¿Se realizan auditorías periódicas de los derechos de acceso de los usuarios?
• Protocolos de respuesta y notificación ante incidentes: Asegúrese de que el personal del proveedor esté familiarizado con los procedimientos de respuesta ante incidentes, incluyendo cómo y cuándo notificar a los clientes cualquier violación o compromiso de datos causado por acciones de los empleados.

Al verificar estas prácticas relacionadas con los empleados, usted refuerza su comprensión de la postura general del proveedor frente al riesgo y puede estar más seguro de que las personas al otro lado están preparadas para proteger sus intereses.

¿Cuándo se debe llevar a cabo la diligencia debida del proveedor?

Las empresas deben llevar a cabo la debida diligencia de los proveedores en varios momentos clave durante su relación con un tercero para garantizar la gestión continua de los riesgos y el cumplimiento normativo. A continuación se indican las etapas críticas en las que es necesaria la debida diligencia de los proveedores.

1. Antes de la incorporación (diligencia debida previa al contrato)

La diligencia debida previa al contrato es fundamental. Antes de firmar un contrato con un nuevo proveedor, las empresas deben llevar a cabo una diligencia debida exhaustiva para evaluar cualquier riesgo potencial que el proveedor pueda suponer para el negocio. Esto incluye evaluar la estabilidad financiera del proveedor, sus prácticas de seguridad, el cumplimiento de las normativas pertinentes y su reputación. Este paso ayuda a prevenir problemas futuros y garantiza que el proveedor pueda cumplir con sus obligaciones contractuales.

2. Durante la incorporación

Las empresas deben evaluar las prácticas de los proveedores al incorporarlos. Esto implica evaluar la documentación pendiente, validar el cumplimiento normativo y confirmar que el proveedor está listo para comenzar el contrato. Llevar a cabo la debida diligencia de incorporación ayuda a alinear las expectativas y responsabilidades de ambas partes, evitando posibles problemas futuros.

3. Supervisión continua (durante la relación con el proveedor)

La diligencia debida no debe ser un proceso puntual. La supervisión continua puede incluir revisiones periódicas de su salud financiera, protocolos de seguridad, estado de cumplimiento y cualquier novedad que pueda afectar a la organización. La supervisión periódica garantiza que el proveedor cumpla con los estándares de la empresa a lo largo de toda la relación.

4. Cuando se producen cambios significativos

Las empresas deben llevar a cabo la debida diligencia si se producen cambios significativos en las operaciones, la estructura o el entorno empresarial del proveedor. Algunos ejemplos son fusiones, adquisiciones, cambios en la dirección o cambios en el mercado o en el panorama normativo. Estos cambios pueden introducir nuevos riesgos que deben evaluarse.

5. Antes de la renovación o prórroga de los contratos

Al renovar o ampliar un contrato con un proveedor existente, es fundamental realizar una diligencia debida para confirmar que el proveedor cumple con todos los estándares necesarios en materia de cumplimiento, seguridad y operaciones. Esto también garantiza que no haya nuevos riesgos que puedan afectar las operaciones de la empresa.

6. Al añadir nuevos servicios o ampliar el alcance de los proveedores

Supongamos que un proveedor va a asumir nuevos servicios, acceder a datos más sensibles o ampliar su función dentro de la empresa. En ese caso, la empresa debe llevar a cabo la debida diligencia para evaluar los nuevos riesgos asociados a este cambio. Esto es especialmente importante cuando los proveedores se ocupan de aspectos más críticos del negocio o acceden a datos más valiosos.

7. Al considerar la exposición al riesgo de terceros (por ejemplo, riesgos de cuartos)

Si un proveedor recurre a terceros para prestar servicios (por ejemplo, subcontratistas), amplíe la diligencia debida a estos proveedores, conocidos como cuartos o enésimos. Es fundamental evaluar los riesgos que estos proveedores secundarios pueden suponer para la organización.

Lista de verificación para la diligencia debida del proveedor

La diligencia debida del proveedor es un proceso crítico que implica identificar y evaluar los riesgos potenciales de terceros proveedores, socios o prestadores de servicios. El objetivo es garantizar que estos terceros no expongan a su organización a riesgos indebidos. Las actividades típicas de diligencia debida incluyen:

• Identificar proveedores ydistribuidores externos: Enumerar todos los proveedores y distribuidores junto con sus funciones y servicios.
• Recopilar información básica: recopilar información de terceros para evaluar su capacidad para cumplir con sus requisitos: solicitar cuestionarios de riesgo, informes financieros y certificaciones (por ejemplo, ISO 27001, SOC 2).
• Evaluar el nivel de riesgo: Determine el nivel de riesgo que cada tercero supone para su organización. Tenga en cuenta factores como la importancia crítica de sus servicios, el acceso a datos confidenciales, la ubicación geográfica y la exposición normativa.
• Verificación de cumplimiento normativo y cuestiones relacionadas con la reputación: comprobar las listas de sanciones y realizar comprobaciones de medios adversos para detectar posibles problemas de reputación.
• Revisar políticas y controles: examinar las políticas de los proveedores relacionadas con la seguridad, la protección de datos y la continuidad del negocio.
• Revisar los contratos: Asegurarse de que los contratos con terceros incluyan cláusulas que mitiguen los riesgos potenciales.
• Realizar verificaciones de antecedentes: En el caso de proveedores críticos, realizar verificaciones del personal clave.
• Tome una decisión informada: Decida si continuar, rechazar o añadir condiciones basándose en los resultados.
• Documentar y comunicar los resultados: Mantener un registro de todas las evaluaciones y decisiones tomadas durante el proceso de diligencia debida.

Determine el alcance y la profundidad de estas actividades en función del impacto potencial de cada proveedor en su organización. Si procede, establezca una referencia de su red actual de proveedores para informar las futuras prácticas de diligencia debida.

Mejore la diligencia debida con un enfoque unificado

La solución VRM de Mitratech es una solución completa de diligencia debida para proveedores que unifica los resultados de la evaluación de riesgos de terceros con la supervisión financiera, cibernética, operativa, ESG y de reputación para obtener una visión continua y cerrada de los riesgos de los proveedores.

Con Mitratech, usted puede:

• Acelere la diligencia debida previa al contrato con información centralizada sobre los riesgos de ciberseguridad, operativos y de cumplimiento normativo de los proveedores.

• Tome decisiones informadas sobre la elaboración de perfiles, la clasificación por niveles y la categorización de proveedores con una diligencia debida precisa.

• Simplifique la diligencia debida evaluando a terceros en función de múltiples tipos de riesgo en una única solución.

• Reduzca los costes al unir las evaluaciones de riesgos y la supervisión continua en una única solución.

• Supervisar continuamente a los terceros que han dejado de trabajar con la empresa para reducir el riesgo a largo plazo.

Obtenga más información sobre nuestro enfoque en nuestra guía de mejores prácticas o solicite una demostración para ver cómo Mitratech puede facilitar sus iniciativas de gestión de riesgos de proveedores.

 

---

Nota del editor: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido ha sido actualizado desde entonces para incluir información alineada con nuestra oferta de productos, cambios regulatorios y cumplimiento.