¿Qué es la incorporación de proveedores?
La desvinculación de un proveedor consiste en retirarle el acceso a los sistemas, los datos y la infraestructura de la empresa, y en garantizar que se ejecuten otras acciones finales según lo estipulado en el contrato. El objetivo de la desvinculación de proveedores es garantizar una transición segura y sin problemas, minimizar el riesgo y la interrupción de las operaciones empresariales y proteger la información confidencial.
Muchas organizaciones pasan por alto la importancia de un proceso de desvinculación seguro y programático, lo que las expone a riesgos futuros. En este artículo, vamos a cubrir:
- Ejemplos de riesgos habituales asociados a la desvinculación de un proveedor
- Retos de la gestión de la salida de proveedores
- 7 buenas prácticas para concluir con seguridad las relaciones comerciales
Asegúrese también de descargar la Guía completa de diligencia debida para la incorporación de proveedores para obtener información adicional sobre este tema, incluida una plantilla de lista de comprobación de 40 pasos que puede utilizar para mejorar su proceso de incorporación desde hoy mismo.
Tipos de riesgos a tener en cuenta al dar de baja a proveedores
La correcta desvinculación de los proveedores es fundamental para gestionar los riesgos, sobre todo porque los equipos de seguridad, compras y gestión de proveedores dejan de supervisarlos cuando finaliza la relación. Un proceso de desvinculación incompleto o llevado a cabo de forma precipitada puede provocar pérdidas económicas, sanciones normativas y daños a la reputación.
Ciberriesgos
Una violación de los datos que un proveedor conserva después de la rescisión puede acarrear problemas de reputación, gastos legales y descubrimientos normativos. Hay varios ejemplos de cómo los procesos incompletos de incorporación de proveedores externos han perjudicado a las organizaciones.
- En 2023, UScellular informó de una violación de datos que expuso la información privada de unos 5 millones de clientes. En lugar de atacar directamente a UScellular, los delincuentes atacaron a un "antiguo proveedor externo" para acceder a los registros. Cuando un proveedor es dado de baja, debe devolver o eliminar de forma segura todos sus registros.
- En enero de 2023, se produjo una filtración de datos en la que estaba implicado uno de los antiguos proveedores de servicios en la nube de AT&T, que afectó a 8,9 millones de clientes de telefonía móvil. Como resultado, AT&T acordó pagar 13 millones de dólares en multas de la FCC, mejorar la forma en que gestiona los datos de los clientes y aplicar prácticas de manejo de datos más estrictas con sus proveedores para evitar futuras violaciones. Esta infracción se produjo años después de que finalizara el contrato, lo que pone de relieve la importancia de supervisar continuamente a los proveedores, incluso después de la rescisión.
- En 2021, Lexington Medical Center sufrió una infracción cuando una persona no autorizada de un antiguo proveedor, Healthgrades Operating Company, obtuvo acceso a archivos de copia de seguridad en servidores archivados que incluían información sanitaria protegida (ePHI). Healthgrades había prestado anteriormente servicios de educación de pacientes para el Lexington Medical Center. Cuando no sea posible eliminar los datos de forma segura debido a las políticas de conservación de registros, las organizaciones deben asegurarse de que el proveedor dispone de controles para impedir el acceso no autorizado a los datos.
Riesgo financiero
El fin de la relación con un proveedor puede generar costes adicionales. Por ejemplo, el proveedor puede haber negociado una tarifa por rescisión anticipada. Además, su organización puede incurrir en gastos para identificar, seleccionar y contratar a un proveedor sustituto, como los gastos de preparación y formación. Sin un proceso de transición fluido, puede haber retrasos en la recepción de piezas, productos y servicios de los nuevos proveedores, lo que, a su vez, puede afectar a la capacidad de su empresa para atender a sus clientes.
Riesgo jurídico
Pueden surgir disputas sobre la titularidad de la propiedad intelectual (PI) o los parámetros de rescisión si su departamento jurídico no revisa minuciosamente el contrato durante la negociación y con cada desarrollo a lo largo de la relación. Los gastos legales pueden ser considerables si existe una disputa sobre el derecho de una organización a rescindir un acuerdo.
Riesgo para la reputación
Mantener buenas relaciones con los proveedores es importante, incluso cuando se rescinden acuerdos comerciales. Otros proveedores pueden interpretar una mala comunicación o el incumplimiento de un contrato con un proveedor como prueba de que es difícil trabajar con su empresa. Esto también puede repercutir negativamente en sus relaciones con otros proveedores o posibles socios comerciales.
Estos ejemplos demuestran que las organizaciones deben evaluar una amplia gama de riesgos empresariales a la hora de desvincularse de los proveedores.
Retos de la incorporación de proveedores
Los equipos de compras, gestión de proveedores y seguridad suelen considerar la gestión de riesgos de terceros (TPRM) como un ejercicio que debe realizarse antes de incorporar a un nuevo proveedor. Por lo tanto, no es de extrañar que la incorporación de proveedores sea una idea tardía en muchas organizaciones. Mientras que casi el 90% de las empresas realiza un seguimiento de los riesgos desde las fases de contratación y selección, menos del 80% realiza un seguimiento de los acuerdos de nivel de servicio (SLA) y de los riesgos de la externalización más adelante en el ciclo de vida de la relación. Aunque la diligencia debida en la contratación y selección de proveedores es una actividad importante, la medición y gestión de riesgos se extiende a lo largo de toda la relación con un proveedor. Esto incluye la gestión del final de una relación con la salida completa del proveedor.
Participación limitada de las partes interesadas
Al igual que con la incorporación de proveedores, los silos de conocimiento pueden dificultar la identificación de todas las tareas necesarias para dar de baja a los proveedores. El departamento de Compras puede notificar a un proveedor que no se renovará un contrato, pero el departamento Jurídico debe revisar los términos del contrato y proporcionar detalles sobre los pasos necesarios para una rescisión limpia. En algunos casos, ingeniería puede tener que identificar la propiedad intelectual compartida con el proveedor. Los departamentos de fabricación y operaciones deben confirmar los pasos necesarios para evitar paros de producción. Finanzas debe identificar las facturas pendientes o los créditos adeudados por el proveedor. La seguridad informática debe asegurarse de que se destruyen los datos y se revoca el acceso al sistema. Sin coordinación entre estos equipos, la desvinculación es una tarea complicada.
Diligencia debida en la contratación
Es más fácil centrarse en las actividades con los nuevos proveedores que en los que se están dando de baja. Para mitigar los riesgos mencionados, es fundamental ser meticuloso a la hora de dar de baja a un proveedor. Esto requiere que todos los miembros del equipo que interactúan con el proveedor identifiquen los riesgos potenciales, acuerden los requisitos de mitigación y realicen un seguimiento meticuloso del progreso. Los métodos manuales para llevar a cabo la diligencia debida conducirán inevitablemente a la omisión de tareas y a riesgos no resueltos.
Visibilidad incompleta de la mitigación de riesgos
El seguimiento de las tareas en hojas de cálculo o documentos compartidos puede hacer que el proceso de incorporación sea incoherente y propenso a errores. La exhaustividad y precisión de una lista de tareas dependen de la experiencia de cada uno en el proceso de incorporación. Por ejemplo, un empleado con menos experiencia puede pasar por alto tareas críticas o marcar incorrectamente un elemento como completo sin la documentación completa de un proveedor. Las hojas de cálculo a las que pueden acceder varios empleados también carecen de controles de auditoría.
Mejores prácticas para la incorporación de proveedores
Un proceso centralizado puede ayudar a los equipos a automatizar la incorporación de proveedores, garantizar que esté completa y mitigar los riesgos de forma eficaz. Estas son siete buenas prácticas a seguir durante la incorporación:
1. Mantener abiertas las líneas de comunicación
Los equipos pueden mitigar el riesgo manteniendo abiertas las líneas de comunicación con el proveedor durante todo el proceso de incorporación. Esto incluye informar a los proveedores del calendario de incorporación, responder a sus preguntas y proporcionar instrucciones claras sobre lo que se espera durante el proceso. Una solución que centralice las interacciones con los proveedores, mantenga las tareas y los plazos y exija flujos de trabajo de aprobación reducirá en gran medida el trabajo manual necesario para abordar estas cuestiones.
2. Realizar una revisión final del contrato
Revise las cláusulas de rescisión del contrato para asegurarse de que tiene derecho a rescindir la relación y, en caso afirmativo, los plazos adecuados para hacerlo. Si rescinde el contrato por incumplimiento de las condiciones contractuales, asegúrese de que se han enviado las notificaciones correspondientes y de que se han respetado los derechos del proveedor a subsanar las deficiencias. Los equipos pueden haber modificado los términos del contrato con el tiempo. Una revisión final con los departamentos jurídico y de adquisiciones puede identificar la ampliación del alcance y garantizar que el proveedor ha proporcionado todos los bienes y servicios contractualmente obligatorios.
Por último, revise los indicadores clave de rendimiento, las entregas pendientes y los pagos. Si el proveedor suministra piezas, asegúrese de que los acuerdos de garantía y asistencia que sobreviven a la rescisión son claros.
3. Liquidar las facturas pendientes
Tras revisar a fondo los términos del contrato e identificar las obligaciones restantes para ambas partes, asegúrate de recibir los productos finales y programar los pagos finales. Asegúrate de incluir cualquier crédito o devolución a la hora de calcular los pagos, ya que pueden ser difíciles de recuperar una vez finalizada la relación.
4. Revocar el acceso a la infraestructura informática, los datos y los edificios físicos
Los socios y proveedores pueden necesitar acceso a sus sistemas, como los utilizados para compras, ingeniería, marketing y datos financieros. Al dar de baja a un proveedor, es fundamental poner fin a su acceso a su propiedad intelectual y otros datos confidenciales. Esto incluye:
- Asegurarse de que dispone de una lista de todas las cuentas de proveedores y eliminar las credenciales de inicio de sesión.
- Proporcionar al proveedor una lista completa de todos los equipos propiedad de la empresa que debe devolver. Al reutilizar los equipos devueltos, tenga en cuenta los requisitos de conservación de datos.
- Cambiar todos los inicios de sesión, incluidas las credenciales compartidas si un proveedor tiene privilegios elevados en el sistema.
- Desautorizar el acceso a todas las aplicaciones, incluidas las VPN y las aplicaciones en la nube, para compartir archivos y mensajería.
- Desautorizar cualquier acceso que el proveedor pueda haber tenido a través de APIs, ya que éstas podrían ser un vector de ataque útil si un hacker compromete más tarde al proveedor.
Algunos empleados del proveedor pueden haber necesitado acceso físico a sus oficinas o salas de servidores. Desactive todas las tarjetas de acceso y se asegure de que el proveedor devuelve todas las llaves físicas. A veces, puede ser necesario cambiar los códigos de entrada a las salas de servidores. Trabaje con sus equipos de seguridad física para asegurarse de que existe un proceso claro para gestionar el acceso físico de los proveedores.
5. Revisar el cumplimiento de la protección de datos y la seguridad de la información
Los proveedores suelen tener acceso a datos confidenciales que pueden estar sujetos a requisitos normativos como CCPA, GDPR, PCI DSS y otros. Durante la incorporación, alinee sus procedimientos de terminación de proveedores con sus obligaciones legales. Las plataformas de gestión de riesgos de terceros tendrán informes integrados que se alineen con estas obligaciones reglamentarias, simplificando el proceso de cumplimiento.
Si el proveedor tiene copias de sus datos sensibles, podrían quedar expuestos en una violación posterior. Morgan Stanley no supervisó adecuadamente el desmantelamiento de los servidores de un tercero. Una violación posterior del tercero expuso información personal y dio lugar a una multa de 60 millones de dólares de la Oficina del Contralor de la Moneda (OCC). Asegúrese de que se devuelve toda la propiedad intelectual y los datos sensibles. Además, se requiere una declaración jurada del proveedor en la que afirme que las copias electrónicas en la infraestructura del proveedor -incluidos los dispositivos de los empleados- se eliminan de forma segura. Revise con el proveedor las obligaciones restantes, como los acuerdos de confidencialidad, no divulgación y no competencia.
6. Actualice su base de datos de gestión de proveedores
No todas las rescisiones son definitivas. Querrá tener un registro claro del historial del proveedor con su organización, incluidos los indicadores clave de rendimiento (KPI) del proveedor. Para reducir el riesgo legal, documente claramente los motivos de la rescisión de la relación y lleve un registro completo de los procedimientos de rescisión. Asegúrese de que dispone de registros de todas las comunicaciones, contratos y demás documentación entre su organización y el proveedor para poder resolver rápidamente cualquier duda o problema que surja en el futuro.
7. Supervisar continuamente a los proveedores para detectar posibles riesgos futuros
Aunque el contrato haya finalizado y todas las tareas se hayan completado con éxito, los riesgos para sus sistemas y datos y los riesgos para el cumplimiento o la reputación pueden seguir surgiendo mucho después de que finalice la relación. La supervisión continua de múltiples vectores de riesgo garantizará que su equipo tenga una visibilidad ampliada de los posibles riesgos futuros.
Próximos pasos para mejorar el proceso de incorporación de proveedores
La gestión manual de la incorporación de proveedores en una gran organización puede agotar incluso a equipos de gestión de riesgos bien dotados. Aunque tomar medidas como centralizar los datos de los proveedores y garantizar procesos uniformes de incorporación en toda la organización puede ayudar, la mayoría de las grandes organizaciones se benefician enormemente de la utilización de una plataforma de gestión de riesgos de terceros especializada.
Una plataforma TPRM específica puede:
- Proporcionar una única fuente de verdad para la información sobre proveedores, fomentando la colaboración entre las partes interesadas internas y los proveedores en una solución central.
- Centralice la gestión del ciclo de vida de los contratos, automatizando las tareas para garantizar el cumplimiento de las disposiciones contractuales con el fin de proteger a la empresa.
- Automatice la evaluación y la supervisión continua de los riesgos de los proveedores -desde la incorporación hasta la baja- centralizando los resultados en un único registro de riesgos que permita una acción coordinada.
- Ofrezca orientación para garantizar que los proveedores excluidos cumplen los requisitos de seguridad y conformidad de su empresa con un nivel de riesgo aceptable.
- Ofrecer un proceso prescriptivo para abordar las tareas finales e informar de acuerdo con los requisitos de conformidad.
¿Le interesa saber cómo Prevalent puede ayudarle a reducir los riesgos durante la incorporación como parte de su ciclo de vida más amplio de gestión de terceros? Solicite una demostración hoy mismo.
Nota de la Redacción: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido se ha actualizado desde entonces para incluir información alineada con nuestras ofertas de productos, cambios normativos y cumplimiento.
