Los fans del cuento Alicia en el País de las Maravillas recordarán cómo respondió el Gato de Cheshire a Alicia cuando ésta le preguntó qué camino tomar. Le contestó: "Si no sabes adónde vas, cualquier camino te llevará allí". Lo que el Gato de Cheshire quería decir era que si careces de un objetivo, entonces no tienes un destino en mente; si no hay propósito no hay meta.
The same can be said for third-party risk management (TPRM). When working with vendors, suppliers, and other third parties, it is critical to define and agree on each relationship’s objectives and overarching goal (i.e., the “destination”) from the start. Following TPRM best practices during the due diligence and onboarding phases can help you predict whether a new third party is capable of delivering against its objectives—and hopefully avoid major headaches down the road.
Una vez iniciado cualquier viaje, es importante comprobar periódicamente la orientación para asegurarse de que se está en el buen camino. Por desgracia, muchas relaciones con terceros no alcanzan sus objetivos tras la firma del contrato inicial. Para mantener el rumbo, es fundamental supervisar el rendimiento de cada proveedor con respecto a los objetivos y los acuerdos de nivel de servicio (SLA) a lo largo de la relación.
5 pasos para gestionar continuamente el rendimiento y los acuerdos de nivel de servicio de los proveedores
He aquí algunos pasos prácticos para gestionar el rendimiento de los proveedores y los acuerdos de nivel de servicio (SLA) con el fin de garantizar unas relaciones productivas, seguras y duraderas con terceros:
1. Definir los objetivos de alto nivel y la finalidad de cada relación.
Esta es la base. Cada relación con terceros debe tener objetivos y metas claramente definidos y documentados desde el principio.
2. Documentar los niveles de objetivos y SLA de la relación
Algunas relaciones son planas, con un objetivo sencillo y singular, mientras que otras son complejas, con varios niveles de contratos y acuerdos de nivel de servicio. Por ejemplo, una empresa a la que asesoré tenía 5.000 proveedores en un total de 20.000 instalaciones, y cada proveedor tenía entre 1 y 50 instalaciones. En este caso, tanto el rendimiento como el riesgo se medían a nivel de proveedor y de instalación. Por otro lado, un banco global con el que trabajé tenía una relación de externalización con un único proveedor de servicios, pero esa única relación tenía asociados más de 100 contratos y acuerdos de nivel de servicio diferentes.
3. Establecer indicadores clave de rendimiento para cada contrato y acuerdo de nivel de servicio.
El siguiente paso es diseccionar claramente los contratos y los acuerdos de nivel de servicio para establecer y definir indicadores clave de rendimiento (KPI) que permitan medir los resultados positivos y negativos con respecto a los contratos y los acuerdos de nivel de servicio.
4. Establecer indicadores clave de riesgo que controlen y midan el riesgo y la incertidumbre.
El riesgo, tal y como se define en la norma ISO 31000, es el efecto de la incertidumbre sobre los objetivos. Una vez establecidos los indicadores clave de rendimiento (KPI), establezca indicadores clave de riesgo (KRI) para supervisar los fallos de control, los eventos adversos y las exposiciones de seguridad que podrían perturbar la capacidad del tercero para cumplir sus objetivos y/o adherirse a los niveles de servicio acordados.
5. Informes y cuadros de mando
Para aportar valor, la supervisión del rendimiento de los proveedores debe producir información y métricas en tiempo real. Asegúrese de que sus procesos de supervisión del rendimiento estén respaldados por informes y cuadros de mando que ofrezcan visibilidad de los KPI y los KRI en el contexto de contratos específicos y acuerdos de nivel de servicio. Esto le permitirá tomar decisiones mejor informadas y le facultará para colaborar con los proveedores en la realización de los ajustes necesarios para cumplir sus objetivos.
Seguir estos pasos ayudará a su organización a ser más ágil y resistente. La agilidad le permite escalar y aumentar el valor de las relaciones de alto rendimiento, mientras que la resistencia le permite minimizar las pérdidas o los daños en una relación de bajo rendimiento.
Integrar el rendimiento de los proveedores en la gestión de riesgos de terceros
Recomiendo integrar el rendimiento de los proveedores y la gestión de los acuerdos de nivel de servicio con las evaluaciones de riesgos y cumplimiento de terceros. Al fin y al cabo, un proveedor que cumpla los contratos y los acuerdos de nivel de servicio puede exponer a su empresa a filtraciones de datos o infringir políticas relacionadas con ABAC, ESG, esclavitud moderna u otros riesgos empresariales.
Nota del editor: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido ha sido actualizado desde entonces para incluir información alineada con nuestra oferta de productos, cambios regulatorios y cumplimiento.
