¿Qué es la incorporación de proveedores?
La incorporación de un proveedor es el proceso de establecer a una empresa como proveedor autorizado de tecnología, bienes o servicios para su organización. También es un primer paso esencial en el ciclo de vida de la gestión de riesgos de proveedores.
Abordar el riesgo de los proveedores durante la incorporación le ayuda a prevenir de forma proactiva las interrupciones del negocio en lugar de reaccionar constantemente a los problemas de la cadena de suministro, las filtraciones de datos y otros incidentes.
Este artículo explora las mejores prácticas para crear un proceso de incorporación de proveedores consciente de los riesgos. Aunque utilizamos el término "proveedor", estas prácticas se aplican tanto a los proveedores de tecnología como a los de bienes y servicios no informáticos.
¿Por qué es importante un proceso estructurado de incorporación de proveedores?
Un proceso estructurado de incorporación de proveedores le ayuda a realizar un seguimiento y una gestión coherentes y repetibles de su ecosistema de terceros. Permite la aplicación de disposiciones contractuales estándar y apoya la diligencia debida para identificar a los proveedores que plantean riesgos cibernéticos, problemas de cumplimiento, preocupaciones relacionadas con ESG u otras amenazas empresariales.
Debe llevar a cabo un proceso de diligencia debida antes de conceder a los proveedores acceso a datos confidenciales, sistemas informáticos o instalaciones. Este proceso puede incluir:
- Evaluación de los controles de seguridad de los proveedores con respecto a marcos como NIST o ISO
- Supervisión de exposiciones cibernéticas, infracciones, alertas financieras, problemas legales y medios de comunicación negativos.
- Identificar los posibles riesgos de la cuarta o la enésima parte que no se hayan detectado durante la contratación.
- Detección de riesgos para la reputación y el cumplimiento relacionados con ESG
- Certificar que los proveedores cumplen los requisitos de "flujo descendente" de normativas como GDPR, CMMC o HIPAA.
Muchas organizaciones agilizan estas tareas utilizando software de gestión de riesgos de proveedores para automatizar los flujos de trabajo de diligencia debida e incorporación en las primeras fases del ciclo de vida del riesgo.
Empezar con procesos sólidos de selección y contratación
El ciclo de vida del riesgo de terceros comienza con la búsqueda y selección de proveedores, incluidas las RFP, RFI y otras herramientas RFx utilizadas para evaluar a los socios. A continuación, los finalistas pasan a la contratación. Tanto la gestión de RFx como la gestión del ciclo de vida del contrato ofrecen oportunidades para identificar y reducir el riesgo antes de la incorporación.
Gestión de la RFx
Aplique prácticas de gestión de RFx conscientes de los riesgos para mejorar la eficacia de la incorporación. Utilice las RFP y RFI para evaluar si los candidatos a proveedores cumplen sus requisitos básicos de seguridad y las normas reglamentarias. En esta fase, es útil realizar un perfil de riesgo inicial e identificar cualquier infracción de datos conocida, demandas, problemas de ESG o banderas rojas financieras.
Con una instantánea preliminar del riesgo en la mano, asigne una puntuación de riesgo a cada posible proveedor en función de sus prioridades empresariales. Si selecciona a un proveedor, lleve este perfil de riesgo a su registro centralizado durante la contratación.
Gestión del ciclo de vida de los contratos
Tras seleccionar a un proveedor, inicie el proceso de gestión del ciclo de vida del contrato. Un proceso contractual estructurado y automatizado acelera la incorporación y reduce el riesgo de terceros:
- Conciliación de las ediciones de las partes interesadas y los proveedores
- Gestión del control de versiones
- Coordinar las revisiones de compras, jurídicas y financieras
- Normalización de las condiciones y los acuerdos de nivel de servicio entre proveedores similares
Las herramientas de gestión de contratos posteriores a la incorporación pueden respaldar las revisiones de los acuerdos de nivel de servicio y supervisar las condiciones de renovación o rescisión.
Crear una base de datos central de proveedores para la colaboración de las partes interesadas
Un objetivo clave de las soluciones de incorporación es centralizar los datos de los proveedores para que las partes interesadas puedan acceder a ellos. Empiece por cargar los datos de los proveedores manualmente o en bloque en su solución de gestión de riesgos. Importe datos de sistemas existentes mediante hojas de cálculo, API o integraciones.
Implique a las partes interesadas de los equipos de compras, cuentas por pagar, finanzas, gestión de proveedores y otros. Asegúrese de que su solución ofrece un acceso basado en funciones para que cada equipo pueda actualizar los perfiles de proveedores pertinentes.
Realizar la diligencia debida de incorporación para medir el riesgo inherente
Después de firmar un contrato con un proveedor seleccionado, ya debería tener un perfil de riesgo inicial basado en los datos recopilados durante las fases de RFx y de gestión del ciclo de vida del contrato. Realice una diligencia debida exhaustiva para determinar su riesgo inherente antes de conceder al proveedor acceso a sus sistemas, ubicaciones físicas o datos.
El riesgo inherente se refiere al nivel de riesgo presente antes de aplicar cualquier control. Puede evaluarse utilizando una combinación de información sobre riesgos a disposición del público y cuestionarios de evaluación de riesgos cumplimentados internamente.
Comprobar los datos de riesgo de cara al público
Realice un rápido chequeo durante la incorporación del proveedor para detectar cualquier riesgo observable externamente que pueda haberse pasado por alto durante el proceso de contratación y selección. En esta fase, es importante tener en cuenta varios vectores de riesgo, incluidos los riesgos cibernéticos, empresariales, financieros y de reputación. Por ejemplo:
- ¿Tiene el proveedor un historial de filtraciones de datos o violaciones de la normativa? En caso afirmativo, ¿ha revelado el proveedor las medidas correctivas que ha adoptado para evitar futuros problemas?
- ¿Cuál es la reputación del proveedor en su mercado? Suponen un riesgo para la reputación de su organización debido a prácticas medioambientales deficientes y otros riesgos ASG en la cadena de suministro, como la esclavitud moderna y el soborno?
- ¿Cuál es la situación financiera del proveedor? ¿Tiene niveles inaceptables de deuda o problemas de tesorería que podrían provocar una incapacidad repentina para cumplir los términos del contrato?
- ¿Quiénes son los ejecutivos clave? ¿Hay mucha rotación en la cúpula empresarial u otros motivos para preocuparse por el funcionamiento interno de la empresa?
Para una comprobación rápida y sencilla, considere la posibilidad de suscribirse a una red de inteligencia de riesgos de proveedores, que proporciona acceso a una biblioteca bajo demanda de miles de informes de riesgos de proveedores actualizados y respaldados por pruebas. O, para obtener una visión aún más profunda y personalizable del perfil de riesgo público de un proveedor, considere la posibilidad de utilizar una solución de supervisión continua de riesgos de proveedores como parte de su programa más amplio de gestión de riesgos de terceros.
Establezca niveles y categorías de proveedores con una evaluación de riesgos inherente
La clasificación por niveles y categorías de los proveedores le ayuda a definir la frecuencia y el grado de detalle con que debe evaluar y supervisar a cada tercero a lo largo de la relación comercial. Debe vigilar más de cerca a los proveedores de alto riesgo y evaluarlos con más frecuencia que a los de niveles inferiores.
Las evaluaciones de riesgos inherentes basadas en cuestionarios desempeñan un papel clave en este proceso. Estas evaluaciones le permiten recopilar información detallada de los proveedores sobre sus controles de seguridad informática, procedimientos de respuesta a incidentes, planes de continuidad de negocio y otras salvaguardas que protegen los datos y la cadena de suministro de su organización.
Puede clasificar a los proveedores en función de varios factores, entre ellos:
- Su importancia para su empresa (por ejemplo, el gasto anual)
- Su perfil de riesgo (por ejemplo, acceso a datos sensibles, riesgo de concentración)
- Su riesgo inherente (el nivel de riesgo antes de cualquier mitigación)
- O una combinación de estos factores
También es importante tener en cuenta su entorno normativo. Por ejemplo, si el cumplimiento del GDPR es una prioridad, es posible que tenga que clasificar a los proveedores en función de su acceso a los datos de los clientes.
Un proceso típico de categorización de proveedores sigue esta lógica:
- Identificar el tipo de contenido necesario para informar sobre los controles (por ejemplo, GDPR, CCPA, etc.)
- Determine la importancia para el rendimiento de la empresa: ¿Es el proveedor muy importante para las operaciones?
- Averigüe la ubicación del proveedor: ¿La ubicación del proveedor plantea alguna obligación legal o reglamentaria? ¿Existe demasiado riesgo de concentración?
- Determine si el proveedor recurre a terceros para prestar sus servicios.
Es igualmente importante comprender cómo podría afectar a su empresa el incumplimiento de un proveedor. Utilice un sistema de puntuación que refleje la jerarquización de los proveedores e incluya criterios como:
- Participación en procesos operativos o de cara al cliente
- Interacción con datos personales o sensibles
- Salud y estabilidad financiera
- Exposición legal y reglamentaria
- Reputación del sector
Mitigar los riesgos inaceptables antes de la incorporación definitiva
Llegados a este punto, debería conocer los riesgos inherentes y perfilados del proveedor. Colabore con ellos para remediar cualquier riesgo que esté fuera de su umbral de tolerancia. Algunas organizaciones también están obligadas por requisitos normativos a evaluar y supervisar los controles de seguridad de terceros.
Una solución de gestión de riesgos de terceros con flujo de trabajo y automatización de tareas puede acelerar la corrección, ofreciendo un retorno de la inversión más rápido y minimizando al mismo tiempo amenazas como las filtraciones de datos o las interrupciones de la cadena de suministro.
Recuerde: no se puede eliminar el 100% del riesgo. Cualquier exposición restante después de la mitigación es riesgo residual. Si el riesgo residual sigue siendo demasiado alto, o si un proveedor se niega a cumplir sus normas, puede que tenga que renunciar al contrato.
Consejos para la incorporación de proveedores
Mediante la aplicación de las mejores prácticas descritas anteriormente, su organización puede reducir significativamente el riesgo de terceros desde las primeras etapas del ciclo de vida del proveedor. Estos son algunos consejos prácticos finales a tener en cuenta a la hora de crear un proceso de incorporación de proveedores consciente de los riesgos:
- Empiece poco a poco, vaya aumentando: Empiece evaluando a un pequeño número de proveedores prioritarios y vaya ampliando la evaluación a medida que su equipo se vaya acostumbrando al proceso.
- Establezca plazos realistas: Los proveedores también son humanos, así que asegúrate de fijar plazos alcanzables para cumplimentar los cuestionarios y responder a las encuestas de evaluación.
- Establezca un proceso de aprobación: Debe existir un proceso de aprobación documentado para la incorporación de nuevos proveedores. Considere la posibilidad de incluir plantillas estándar para las condiciones de pago, facturación y normas de seguridad de la información como parte del proceso de incorporación de proveedores.
- Proporcione recursos de apoyo: Cree una sección de preguntas frecuentes para responder de forma proactiva a las preguntas y compartir las mejores prácticas con las personas que responden.
- Planificar la comunicación: Cree un plan de comunicación para fomentar la participación y el progreso. Esto puede incluir la identificación de objetivos, la transmisión del valor de las evaluaciones y la provisión de una lista de contactos de escalada.
Seguir reduciendo el riesgo de terceros después de la incorporación
No es ningún secreto que constantemente surgen y evolucionan nuevas amenazas, por lo que la gestión de riesgos debe continuar a lo largo de cada etapa del ciclo de vida del riesgo del proveedor. He aquí algunas medidas que puede tomar para reducir el riesgo a lo largo de la vida del contrato:
- Exigir que los proveedores se sometan a una auditoría para certificar el cumplimiento de SOC 2, NIST CSF u otro marco de ciberseguridad. Al cumplir los requisitos del marco, los proveedores también pueden cumplir por defecto los requisitos de cumplimiento obligatorios.
- Emitir evaluaciones de riesgos de proveedores de forma periódica (por ejemplo, anualmente) para identificar cambios en los controles de seguridad de terceros y/o abordar nuevos requisitos de cumplimiento.
- Siga los protocolos de supervisión de terceros y correlacione la información sobre incidentes y eventos de riesgo del mundo real con lo que se indica en las evaluaciones de los proveedores.
- Exigir divulgaciones rutinarias adicionales de los estados financieros y otra información empresarial para adelantarse a posibles perturbaciones a lo largo del.
- Incluya cláusulas de seguridad de la información en el acuerdo de nivel de servicio y otros términos contractuales para añadir un nivel adicional de protección de la responsabilidad de su organización.
- Seguir un proceso de aprobación de los cambios de alcance de los contratos para proveedores de alto riesgo.
Pasos siguientes: Automatice el proceso de incorporación de proveedores
La incorporación de proveedores no tiene por qué ser un ejercicio tedioso. Con una planificación inteligente y una solución de incorporación automatizada, puede conseguir un ROI más rápido de los nuevos vendedores y proveedores, reducir la exposición de su organización al riesgo de terceros y crear asociaciones empresariales más sólidas.
Infórmese sobre la incorporación en nuestra guía de buenas prácticas, The Vendor Onboarding Due Diligence Guide, o solicite una demostración de nuestra solución hoy mismo.
Nota del editor: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido ha sido actualizado desde entonces para incluir información alineada con nuestra oferta de productos, cambios regulatorios y cumplimiento.
