Cómo conseguir que sus partes interesadas internas se preocupen por la gestión de riesgos de terceros

Melissa: Hola y bienvenidos. Es fantástico ver que todos empiezan a unirse. Les voy a dar un minuto mientras esperamos a que todos se acomoden y se conecten. Mientras tanto, voy a lanzar nuestra primera encuesta. Allá vamos. Espero que aparezca en sus pantallas. Oh, perfecto. Me encanta que no funcione. Es mi parte favorita. Muy bien, allá vamos. Ahora la verán. Tenemos curiosidad por saber qué los trae al seminario web de hoy. Siempre me emociona ver eso. ¿Es por motivos educativos? ¿Están en las etapas iniciales de su programa de riesgo de terceros? ¿Son clientes habituales? Háganmelo saber. Comencemos con una breve presentación. Me llamo Melissa y trabajo aquí en desarrollo empresarial. Hoy nos acompaña un invitado que vuelve a visitarnos, Rodney Campbell, vicepresidente sénior y director de gestión de riesgos de terceros en Valley National Bank. Bienvenido de nuevo, Rodney.

Rodney Campbell: Gracias. Mike Yaffy: Sí. Y también tenemos aquí a Mike Yaffy, director de marketing de Prevalent. Hola, Mike. Mike Yaffy: Hola. Sé que estoy hablando y saludando. Melissa: Vaya, increíble. Y por último, pero no menos importante, tenemos a Scott Lang, nuestro vicepresidente de marketing de productos. Hola, Scott. Scott Lang: Hola, Melissa. ¿Cómo estás? Melissa: No saludo. Solo veo una cosa a la vez, ¿verdad? La próxima vez. Hoy tenemos a Rodney, que nos va a explicar cómo conseguir que las partes interesadas iniciales se preocupen por la gestión de riesgos de terceros. Como podéis ver, como pequeño detalle organizativo, este seminario web se está grabando, por lo que lo recibiréis junto con la presentación de diapositivas poco después de que todo haya terminado. Por último, todos tenéis el micrófono silenciado, así que utilizad el chat si necesitáis comunicar algo que no sea una pregunta para el cuadro de preguntas y respuestas. Si tenéis alguna pregunta urgente, utilizad ese cuadro de preguntas y respuestas. Nos encantaría que todo fuera bastante interactivo. Y sin más preámbulos, voy a dejar que Rodney y, en menor medida, Mike se pongan manos a la obra.

Mike Yaffy: Sí, exacto. Pasemos a las diapositivas, chicos. Esto es lo que vamos a hacer. Rodney tiene mucha experiencia, a diferencia de mí. Hoy vamos a hacer una pequeña entrevista, que esperamos que sea un poco más divertida y ligera. Estábamos comentando que Rod viste mucho mejor que yo. Ahora bien, él trabaja en un banco. Nosotros trabajamos en alta tecnología, así que el hecho de que yo esté vestido, me haya duchado y no lleve gorra es lo máximo a lo que puedo aspirar en cuanto a vestir elegante. Rodney no lleva corbata hoy, así que va a por todas. Melissa, ¿puedes compartir las diapositivas? Sería estupendo. La primera pregunta que vamos a abordar y de la que vamos a hablar mucho es cómo conseguir que la gente se alinee con TPRM. Creo que una de las cosas que estamos viendo y de las que queremos hablar hoy, Rodney, es que hay una especie de convergencia entre el cumplimiento normativo, la seguridad, el riesgo, las compras... y todo el mundo necesita evaluar a sus proveedores, su cadena de suministro... ya sabes, a las personas que les permiten seguir en el negocio, como me gusta decir. Así que, eh, la primera pregunta es fácil, ¿verdad? En tu opinión, hablemos un poco sobre lo importante que es que las partes interesadas internas participen activamente, ¿verdad? Obviamente, si la respuesta es no, podemos terminar aquí el seminario web. Pero, eh, mira, ¿cómo se hace? ¿Por qué hay que hacerlo? ¿Por qué es tan importante hacerlo?

Rodney Campbell: Bueno, yo diría que siempre hay que hacerlo. Es necesario. Hay que verlo desde una perspectiva holística. Se trata de actividades interconectadas. Por lo tanto, las actividades interconectadas requieren una conexión en la colaboración entre las personas, los procesos y la tecnología. Piense en todas las funciones de control de riesgos que puede tener dentro de su organización. Debe asegurarse de que las funciones de control se comuniquen entre sí. Debe asegurarse de que sean conscientes de lo que ocurre dentro de la organización o del riesgo que puede suponer un producto o servicio para su organización. Puedo decirle que si no conecta los puntos entre sus funciones de control de riesgos, el cumplimiento normativo, su auditoría interna y su programa de TPR, se encontrará con muchos problemas, porque tenemos que verlo desde dos perspectivas. Existe el riesgo externo, ¿verdad? Por lo tanto, la participación de productos y servicios de terceros es la perspectiva externa del riesgo. ¿Qué hay del impacto interno que puede tener en sus operaciones comerciales diarias? Ahora bien, si

Mike Yaffy: Rodney, nosotros también lo hemos visto y diría que uno de los mayores problemas que hemos observado en las personas que trabajan en TPRM y que están un poco aisladas es que no pueden incorporar a los malditos proveedores al producto porque ni siquiera saben a quién acudir o cómo empezar, ya que no han establecido conexiones con personas de toda su organización. Rodney Campbell: Bueno, creo que eso nos lleva de vuelta a la gobernanza corporativa, ¿no? Por lo tanto, siempre que se contrate a un nuevo proveedor o tercero para un producto o servicio, hay que asegurarse de que la gobernanza esté bien establecida. ¿Cómo se involucra a las partes interesadas? ¿A quién se debe involucrar? Hay que asegurarse de que, cuando se tomen decisiones, estas no se tomen en un entorno aislado. Hay que asegurarse de que estas decisiones sean colaborativas. Debe asegurarse de que las funciones que son activamente responsables de recibir el producto o los servicios y de proporcionar mantenimiento y soporte para dichos productos y servicios participen de forma activa y equitativa, de modo que, al final, su decisión sea holística, pero también esté bien fundamentada.

Mike Yaffy: Háblame de las desventajas, entonces, la desventaja de no conectar con la gente es que no tienes apoyo para el programa, ¿verdad? Quizás no puedas identificar a tus proveedores, ¿qué más hay? ¿No se convierte en algo estratégico? ¿A alguien le importa? ¿Qué ves como... Rodney Campbell: ¿ Lo más importante si no estás dispuesto a tender una rama de olivo y trabajar juntos? ¿Qué pasa? ¿Cuál es el riesgo negativo en este caso? Rodney Campbell: Vaya, la rama de olivo. Necesitas varias ramas de olivo. Te diré que la desventaja es que perderás la oportunidad de identificar proveedores. Perderás la oportunidad de identificar el riesgo asociado a los productos y servicios, y también de mitigar el riesgo asociado a tus compromisos con los productos o servicios. Debes asegurarte de que tus partes interesadas, no solo las funciones empresariales que apoyan o reciben los productos o servicios, sino también las personas encargadas de proteger y proporcionar apoyo a la organización frente al riesgo, sean responsables de mitigar el riesgo. Si no los involucras, no mitigarás el riesgo en toda su extensión. Identificará erróneamente el riesgo que supone para su organización el compromiso con el producto o servicio y habrá una calificación o cuantificación errónea general del riesgo asociado a su compromiso con el producto o servicio.

Mike Yaffy: Bueno, no soy tan inteligente. Entonces, cuando hablas de malinterpretar el riesgo, cuantificarlo erróneamente, ¿qué es lo que realmente necesitas? Palabras sencillas . Mike Yaffy: Como, y digo esto, mira, he hecho un montón de cosas, pero explícamelo como si se lo estuvieras explicando a mí, que trabajo en marketing, ¿vale? Pero explícamelo como se lo explicarías a tu madre. ¿Qué es eso? Y lo digo en serio. ¿Qué significa en términos sencillos? Rodney Campbell: Bueno, si te lo explico como se lo explicaría a mi madre, voy a necesitar una manta con mangas y un té.

Mike Yaffy: Oh, Dios mío. Sí. Mi mujer tiene una manta con mangas. No se puede subestimar una manta con mangas. Rodney Campbell: Sí. Veámoslo desde esta perspectiva. Quieres asegurarte de que tú y tu negocio funcionáis bien, porque, de nuevo, vamos a volver a las actividades interconectadas y quieres asegurarte de que, para proteger y mitigar los riesgos asociados a esas actividades interconectadas, necesitas asegurarte de que la conexión entre tu gente, el proceso y las tecnologías está en marcha. Por lo tanto, las partes interesadas son muy importantes, porque si no identificas a las personas adecuadas, si las personas adecuadas no están sentadas a la mesa, no tendrás una decisión holística o informada. Tu decisión puede ser tomada por una sola persona. Puede ser tomada específicamente por la empresa. Puede ser tomada por una función de riesgo.

Mike Yaffy: De acuerdo. Entonces, lo que dices es correcto, solo quiero asegurarme de que lo entiendo bien: si no tienes el grupo adecuado, no tienes todas las piezas que necesitas para tomar una decisión completamente informada. Rodney Campbell: Por supuesto. Por supuesto. Mike Yaffy: Quiero decir, eso tiene sentido, ¿no? Y estás dejando fuera a alguien que podría cuidar o acabar con el programa, ¿verdad? Rodney Campbell: Por supuesto. Y también hay que verlo desde ese punto de vista. Si contratas a un tercero concreto para un producto o servicio, ¿de verdad quieres incorporar un grupo de control de riesgos o funciones después de haber firmado el contrato? Te perderás la mitigación de riesgos que debería producirse antes de la contratación. Por lo tanto, debes asegurarte de involucrar a las partes interesadas desde el principio. Asegúrate de que tus decisiones estén bien fundamentadas y de que se trate de un enfoque colaborativo.

Mike Yaffy: En los contratos, estamos viendo más cosas. No creo que ocurra lo suficiente, pero las dos cosas que sabemos que la gente está viendo un poco más en los contratos son el derecho a mitigar, el derecho a volver a probar y la necesidad de actualizar continuamente, y tienen que proporcionar esto continuamente, no es algo puntual, sino que también es correcto que se les exija mitigar lo que ustedes consideran correcto o habrá consecuencias. ¿Lo ven así? ¿Lo tienen? ¿Están viendo más de eso? Creo que en toda la industria puedo decirles que ocurre más que un poco. Creo que esto se remonta a la colaboración y a la participación de las partes interesadas cuando se evalúa de forma inherente el riesgo de un producto o servicio concreto, lo cual es muy importante. Asegúrense de que toda la diligencia debida, todas las cuestiones, el riesgo que identifican de forma inherente, lo tengan en cuenta cuando ejecuten su acuerdo contractual entre ustedes y un tercero. Puedo decirte que nuestra organización aquí, en Valley National Bank, ha adoptado un enfoque colaborativo para contratar a terceros para todos los productos y servicios. Queremos asegurarnos de que la decisión no la tome solo una función empresarial concreta. Es algo que...

Mike Yaffy: ¿Quién participa, quién forma parte de su colaboración? ¿Quién forma parte de su equipo principal? Por curiosidad. Rodney Campbell: De acuerdo. Bueno, el equipo principal número uno es el negocio, porque el negocio es el propietario del riesgo. Son los propietarios de la relación. Quieres asegurarte de que sea la segunda línea de defensa. Ya sea tu seguridad de la información, tu riesgo cibernético, tu grupo de TPRM, tu grupo de cumplimiento o regulatorio, que ellos también estén involucrados . Pero queremos asegurarnos de que involucramos a las personas adecuadas por las razones adecuadas. No querrás involucrar, por ejemplo, a una función de control de cumplimiento y a un compromiso o posible compromiso con el producto o servicio cuando no sea necesario. Quieres asegurarte de que cada grupo de control esté alineado con el riesgo que identificamos con el posible compromiso con el producto o servicio. Por lo tanto, eso variará.

Mike Yaffy: De acuerdo. Para que quede claro, es cierto que no todo el mundo participa en todo. Hay personas que conocen los grupos, pero obviamente no se invita a todo el equipo de información, sino a personas concretas. Mike Yaffy: por razones concretas, pero intentas que sigan involucrados. ¿Hay algún grupo que, cuando incorporas proveedores, les haces tomar la decisión como parte de un grupo para incorporar a los proveedores? ¿Tienes algún tipo de comité de incorporación en el que lo revisas y lo has visto también? Hemos hablado con un montón de gente y no lo he visto como centralizado frente a descentralizado. ¿Tenéis un grupo de compras, un grupo jurídico, un grupo de riesgos y un grupo de seguridad, o es el departamento de compras el que los incorpora y luego nosotros nos encargamos de lo demás?

Rodney Campbell: No, sin duda se trata de nuevo de un enfoque colaborativo. Contamos con un departamento de abastecimiento y adquisiciones que trabaja directamente con la empresa a la hora de evaluar a los posibles terceros. Una vez más, la evaluación es independiente, pero forma parte del proceso general de incorporación. Queremos asegurarnos de que, cuando consideramos a cualquier tercero respetado, este esté realizando todas las diligencias debidas adecuadas o el nivel mínimo de diligencia debida adaptado a ese producto o servicio desde el principio. Así que sí, sin duda es una fuente de negocio de aprovisionamiento y también una colaboración con la función de control de riesgos correspondiente.

Mike Yaffy: Melissa, pasa a la pregunta tres. Ya hemos respondido a esta. Número dos, sé que ya hemos respondido a la pregunta tres. Voy a responderla en un momento. Mike Yaffy: Otra cosa interesante que ha surgido es que, cuando miramos nuestro negocio, vemos que la gente suele contratarnos por el lado de la información y luego, como un 80-75 %, por el lado de las adquisiciones. Aunque el ESG y cosas por el estilo no son necesariamente la función principal, vemos muchas más preguntas que se filtran en las encuestas, las evaluaciones y el seguimiento continuo. ¿Estás haciendo una función ESG continua, solo por curiosidad? ¿Es algo que te ha llevado a ello? ¿Es una función distinta o es algo como «mira, estás mirando y llegarás a ello»?

Rodney Campbell: Bueno, el enfoque que hemos adoptado es asegurarnos de tener en cuenta todas las áreas de riesgo o categorías de riesgo. Creo que el ESG es uno de esos temas en los que muchas organizaciones se encuentran actualmente en proceso de maduración. Es posible que algunas ya lo hayan madurado. Mike Yaffy: Créeme, no hay muchos como nosotros, que estuvimos hablando por teléfono con los analistas de Gartner el otro día. Hablamos con un grupo de cinco personas de forma independiente y Mike Yaffy: vemos que mucha gente habla de ello y hay mucho revuelo al respecto, pero nadie lo está haciendo o todo el mundo lo está evaluando. Por lo tanto,

Rodney Campbell: Tienes razón. Definitivamente usaré las comillas al evaluar eso. Estoy totalmente de acuerdo contigo. Te puedo decir que hemos estado hablando de esto desde hace tiempo, pero creo que cuando analizamos otras categorías de riesgo que generalmente no tomamos en cuenta, ni discutimos, ni evaluamos, debemos comenzar a tomar medidas. Podemos identificar áreas de riesgo relacionadas con ESG o áreas potenciales de riesgo asociadas a ESG. Incluso si no se cuenta con un programa ESG necesario, es importante asegurarse de identificar los indicadores o las áreas potenciales de riesgo desde el principio. Tienes un producto o servicio. ¿Dónde se fabrica tu producto o servicio? ¿Quién lo fabrica y qué se tiene en cuenta para ofrecer tu producto o servicio? Son preguntas sencillas que tienen respuestas sencillas, pero debes asegurarte de que esas respuestas sencillas no den lugar a indicadores de riesgo más importantes para tu organización.

Mike Yaffy: Sí. Y mira, Rodney me preguntó durante nuestro juicio a todos si iba a hablar, y yo le dije que quizá un poco, y luego me puse a hablar y no pude evitarlo, como probablemente saben Scott, Peter y todos con los que he trabajado, pero mira, tú hablaste de esto, es uno de mis temas favoritos en Infosac.He hecho marketing de Infosac y luego marketing, pero lo suficiente como para ser peligroso. Creo que el reto que tenemos es, y mira, lo vi en las pruebas de penetración de vulnerabilidades criptográficas, todos estos segmentos del mercado en los que la gente se distrae con la nueva bola brillante y, especialmente, con la llegada de RSA, empieza a hablar de: «Oh, quiero hacer ESG, quiero hacer eso». Necesitas una columna vertebral fundamental de un programa que funcione bien, que integre todo lo que Rodney está hablando y hablará para hacer esto correctamente antes de llegar a ESG. Tú estás como, ¿estás evaluando a tus proveedores de primer nivel con respecto a algo de forma regular, verdad? ¿Y tienes un plan para tu segundo nivel, tercer nivel y luego, ya sabes, cuartos niveles? Bien. Pero, ¿cuál es tu programa? ¿Cuál es tu plan? Entonces pasa al ESG. Ya sabes, la gente, bueno, tal vez hagamos... No, está bien decir que primero tenemos que crear el programa. Gatea, camina, corre, lo que quieras, Rod, pero tienes que tener un plan y un programa en marcha o, de lo contrario, francamente, solo estarás tirando basura contra la pared.

Rodney Campbell: No, no podría estar más de acuerdo contigo. Creo que también debemos examinar las competencias de las personas que evalúan y dirigen estos programas. Una cosa es comprar la última y mejor tecnología y decir: «Eh, eh, esto es lo que estamos haciendo». Pero si no puedes interpretar o agregar los datos, esa tecnología, y utilizarla de una manera que sea beneficiosa para tu organización, se convierte en otro gasto más. Se convierte en otra cosa que tienes y que es totalmente inútil». Mike Yaffy: Sabes, la tecnología debería ayudarte a escalar y a ir más rápido. Y si no es así, no la compres. Eso también se aplica a lo que es habitual. No la compres. Tenemos una pregunta de Ed. Y chicos, lo sé, lo he dicho varias veces, soy un comercial y creo que puedo caminar y masticar chicle al mismo tiempo. Así que, si queréis hacer preguntas mientras hablamos de un tema, estaré encantado de responderlas en tiempo real. Tenemos una pregunta de Ed. Cuando hablábamos antes de los grupos, Rodney, los distintos grupos que participan como parte de tu comité, ¿tienen estos grupos la facultad de rechazar a un posible proveedor basándose en su diligencia debida? Imagino que cada uno de los grupos tendría diferentes tipos de diligencia debida que querrían ver antes de incorporar a un proveedor. Entonces, ¿cómo funciona tu proceso en ese sentido?

Rodney Campbell: Creo que hay que tener en cuenta el perfil de riesgo de su producto o servicio, además de la propensión al riesgo de su organización, es decir, las funciones de riesgo. Si un tercero, producto o servicio concreto o potencial supone un riesgo demasiado elevado, superior a su propensión al riesgo y a cualquier medida de mitigación que se haya puesto en marcha, entonces sí, ese sería el caso. Pero hay que asegurarse de que no se trata de un caso aislado en el que no estamos de acuerdo y de que los grupos de control de riesgos de la función empresarial y otros grupos respetados, además de los comités ejecutivos de riesgos, estén al tanto de cualquier decisión y no sigan adelante con una participación debido a un riesgo identificado o a áreas de riesgo elevadas. Hay que asegurarse de que todas las partes interesadas participen y estén de acuerdo de forma equitativa o colaborativa .

Mike Yaffy: Sí. Estoy de acuerdo. Creo que todo se reduce a establecer expectativas, ¿no? Por ejemplo, si descubrimos sanciones, si están siendo investigados por la SEC, si descubrimos que están utilizando mano de obra infantil en un país, ¿no? Todos estamos de acuerdo de antemano en que estas son cosas que nos impedirían trabajar con este proveedor, ¿no? Creo que se trata de sentarse a hablar. Se trata de comunicarse y ponerse de acuerdo, según lo que estoy entendiendo. Rodney Campbell: Sí . Mike Yaffy: Bien, pasemos a la segunda pregunta. Llevamos 18 minutos. Estamos en la segunda pregunta roja. Entonces, eh... Oh, espera. Vuelve a donde estabas. Eh, dondequiera que estuvieras.

Melissa: No, eso ya lo hemos hecho. Sí. Déjalo puesto. Sí. Sí. Mike Yaffy: Sí. Vale. Estaba hablando con Rodney, Melissa, lo siento. Melissa: Oh, es broma. Mike Yaffy: Sí. Sí. Me has engañado. Um, ¿cómo puedes...? Entonces, Reed, ¿cómo puedes establecer la necesidad...? Sé que has hablado de ello y hemos hablado de las ramas de olivo. Mike Yaffy: Dale detalles a la gente. Mi hipótesis es que mucha gente acaba en TPRM o es su primera vez en TPRM, ¿verdad? O eran, ya sabes, es algo muy importante que hay que hacer, pero es un segmento emergente, ¿verdad? Así que no hay mucha gente con 20 años de experiencia. Yo conozco a cinco de ellos en evaluaciones compartidas, ¿verdad? Pero diría que en el sector hay muchos novatos. Así que vuelve a ser muy claro.

Mike Yaffy: ¿ Qué hiciste, cómo lo hiciste, cómo conseguiste que estos grupos se sentaran a la mesa? ¿Se trata de reuniones? ¿De llamadas telefónicas? ¿De ir a comer? ¿De realizar actividades de team building? Me refiero a cómo se consigue la inercia corporativa Rodney Campbell: de forma positiva. Rodney Campbell: No, eso está bien. Volviendo a las ramas de olivo y a algunas comidas gratis, muchas comidas gratis, por desgracia. Eh... hay que asegurarse de que la organización entiende, ante todo, qué es la gestión de riesgos de terceros y qué significa para la organización, cuál es el impacto potencial. Es difícil conseguir que las personas de la organización, o incluso las personas con las que se colabora externamente, acepten algo que no entienden. Por lo tanto, lo primero y más importante es la comprensión. Se puede crear un marco. Se puede redactar una política, pero hay que asegurarse de que los fundamentos estén bien establecidos. Por ejemplo, la gestión de riesgos de terceros, como tú mismo has dicho, Mike, se gestiona y administra como un proceso administrativo en muchas organizaciones. Y hay algunas organizaciones que todavía gestionan y mantienen todo su inventario mediante hojas de cálculo de Excel, pero también hemos visto en paralelo en el sector, tanto si formas parte de una entidad regulada como si estás sujeto a alguna restricción normativa.

Mike Yaffy: Por cierto, todo el mundo está por debajo. Mike Yaffy: Scott, te voy a preguntar, Scott escribió este manual de cumplimiento. Y Scott, ¿cuántas son? Es una legislación que afecta al riesgo de terceros. ¿Cuántas páginas tiene ahora tu novela, Scott? Scott Lang: Eh, puede que sean unas 200 páginas, o puede que no. Mike Yaffy: Y, por cierto, solo hay tres o cuatro, dos o tres páginas o cuatro páginas por cumplimiento. Scott Lang: Sí. Mike Yaffy: Es una locura. Melissa: Vaya. Mike Yaffy: ¿ Cuántas leyes o directrices Mike Yaffy: exigen ahora directamente el riesgo de terceros? Así que tengo que creer que todo el mundo está sujeto a algo.

Rodney Campbell: Así es. Estoy totalmente de acuerdo. Pero puedo decir que hay organizaciones que creen o tienen la impresión de que no están reguladas por un organismo regulador concreto, ya sea la OC, la FRB o la FDIC, pero yo creo que sus actividades están reguladas y creo que debemos tener claro cuáles son esas actividades y cuáles son los riesgos que plantean esos productos y servicios, así que, volviendo a su argumento, hay que asegurarse de que las personas comprendan la naturaleza del riesgo quesupone la contratación de productos y servicios de terceros potenciales, así que, en mi caso, lo que he hecho muchas veces en el pasado es asegurarme de preguntar: «Oye, ¿cuál es tu opinión sobre la gestión de riesgos de terceros? ¿Qué hacemos? ¿Cuál es nuestro RARI? Porque quieres asegurarte de que tu RORI es importante. Tu RARI no es solo la gestión de proveedores, porque si tu organización ve o considera que tu proceso es simplemente un enfoque administrativo para gestionar a nuestros proveedores, entonces te perderás algo y también estarás mal informado sobre la mitigación y la asunción de riesgos.

Mike Yaffy: Sí, Rodney, te lo diré después de hablar con ellos. Mi experiencia es realmente en seguridad, pero hemos pasado el último año hablando con muchos ejecutivos de compras y creo que lo que ha quedado claro es que si contratas a un proveedor malo Mike Yaffy: y te falla, es como tener un único proveedor, como algunos fabricantes de automóviles en Ucrania, y sabes que el riesgo no es solo la estabilidad financiera, y tal vez algunos lo ven, pero es algo continuo, especialmente porque no todos los proveedores son iguales, pero si tienes un proveedor de primer nivel que te suministra algo que es muy importante para ti. Es mejor que tengas una forma coherente y regular de asegurarte de que no vas a tener ningún problema.

Rodney Campbell: Totalmente de acuerdo. Entonces, ¿qué sucede cuando se produce un problema? Eso significa que las personas que no tienen ni idea de lo que ha sucedido o de lo que debería haber sucedido se encargan de abordar, resolver o remediar el problema en cuestión. Y estas personas no han estado involucradas en primera línea. No tienen ningún conocimiento del producto o servicio. Pero tienen la responsabilidad, no solo fiduciaria, sino también organizativa, de abordar el riesgo. Así que ahora están tratando de abordar un compromiso con un producto o servicio, o el riesgo o un incidente como resultado de contratar un producto o servicio de terceros, y no tienen un conocimiento fundamental de qué, cómo y quién.

Mike Yaffy: Me recuerda al desarrollo de software, donde siempre se dice que si se detecta un error durante el desarrollo, el coste es de uno a uno. Si pasa a la fase de compilación, es de cinco a uno. Si pasa a la fase de producción, es de diez a uno, así que si puedes entender que un proveedor, justo cuando te incorporas o pretendes incorporarte, puede haber algo, frente a 18 meses después,estás atado a un contrato con ellos y, de repente, todo se va al traste. No digo que ocurra mucho o todo el tiempo, pero, Dios mío, ya sabes cómo son todas estas empresas: cuando se habla de infracciones, es solo cuestión de tiempo, ¿no? Es como si estuvieras jugando con fuego.

Rodney Campbell: No podría estar más de acuerdo contigo. Pero, de nuevo, si no cuentas con esa colaboración y no te aseguras de identificar a las personas adecuadas de tu organización que deberían formar parte de esa conversación y sentarse a la mesa, Mike Yaffy: entonces te señalarán con el dedo si no lo has hecho. Si no estaban allí antes, puedes estar seguro de que te señalarán con el dedo después de los hechos. Rodney Campbell: Quieres evitar que te señalen antes de que suceda y no después. Mike Yaffy: Correcto. Correcto. Tiene sentido. Oye, tenemos una pregunta de Teresa. Um, basada en la nube. Ella está en una startup basada en la nube. Um, ¿cuál es la mejor manera de conseguir que un ejecutivo compre y comprenda la importancia de TPRM?

Rodney Campbell: De acuerdo. Entonces, Mike Yaffy: parece que a tu organización no le importaba y tuviste que venderlo. Sí . Rodney Campbell: Tu equipo exacto. Rodney Campbell: ¿ Cómo, antes de intentar venderlo, es tan importante tenerlo? También pregunté qué tan crítico y perjudicial es no tenerlo implementado. ¿Qué sucede cuando no se tiene un programa de TPR? Mike Yaffy: Las consecuencias de la inacción. Rodney Campbell: Por supuesto. Puedo decirte que es más fácil abordarlo de esa manera que intentar vender todas las cosas maravillosas, porque puedo decirte que hay muchas cosas, hay muchas ventajas por las que deberías tener un TPR implementado. Todos lo sabemos. Hablamos de ello constantemente. Pero creo que de lo que no hablamos mucho es de las consecuencias. ¿Cuáles son las consecuencias de no tener un programa de TPR? ¿ Cuáles son las consecuencias de no asegurarse de tener una gobernanza adecuada? Asegurarse de tener un marco que proteja a su organización, pero también algo que proporcione cierta gobernanza corporativa en todas estas actividades y procesos interconectados.

Mike Yaffy: Sabes, también añadiré a eso que creo que, por un lado, mira, y tal vez esta no sea la respuesta más popular, no siempre se puede conseguir que todas las organizaciones se preocupen, ¿verdad? Yo, cuando solía entrar en equipos de seguridad, preguntaba: «¿Qué tipo de tienda son ustedes? ¿Sois el tipo de organización que se ocupa de ello o sois de los que, hasta que no os veis entre la espada y la pared, no queréis un seguro? Al fin y al cabo, la seguridad es, en cierta medida, un seguro, ¿no? Intentáis prevenir, como mínimo, el tipo de ataque más fácil o menos común.

Mike Yaffy: Entonces, depende de tu organización. Te diré, Teresa, que la mayor parte del negocio suele estar impulsado por el cumplimiento normativo o las auditorías, ¿verdad? Por lo tanto, se trata de cumplir con las normas de quienquiera que sea tu socio o con las normas internas de tu organización. Los fallos o hallazgos de auditoría tienden a impulsar esto. La seguridad aumenta. Es obvio decirlo, pero alrededor del 65 % de las infracciones se producen ahora a través de terceros. Por lo tanto, tu organización va a decir que esto es algo importante y creo que probablemente necesitemos un proceso mejor para evaluarlo, como has mencionado antes, Rodney. ¿Aceptan o rechazan este riesgo?

Mike Yaffy: Correcto. Estoy dispuesto a aceptar todo lo que acabas de decir y arriesgarme o no. Diría que las multas, las multas por no superar una auditoría, suelen motivar a la gente, pero hay personas que, al final, simplemente no lo aceptarán. Rodney Campbell: No, eso es totalmente cierto. Y creo que lo que siempre debes hacer o tener en cuenta es que si estás tratando con una sola parte interesada, probablemente sea mucho más fácil que tratar con cinco, seis, siete u ocho. En algunos casos, es posible que estés tratando con una sola. Y no puedes vender la historia del valor a todo el mundo. Pero es importante que mantengas el rumbo y hagas lo que tengas que hacer para proteger a tu organización. Por lo tanto, eres responsable de crear un programa que la parte interesada debe conocer bien: ¿este producto o servicio respalda algo que es significativo para tus actividades comerciales diarias y qué sucede cuando esto sale mal o qué sucede en caso de que salga mal?

Mike Yaffy: ¿ Estás dispuesto a vivir con este proveedor? Mike Yaffy: ¿Se ha producido una violación? Rodney Campbell: Por supuesto. Mike Yaffy: Y yo estoy de acuerdo, y desde un punto de vista objetivo, hablo mucho sobre cosas así, pero es como... Y creo que es una perspectiva que podríamos tener una violación de este proveedor, hipotéticamente, es el que identifica los condensadores de flujo, ¿verdad?, para los Deloreans. Mike Yaffy: Entonces, si estás dispuesto a aceptar que ya no podemos conseguir condensadores de flujo o que tienen una violación y tiene un impacto material, entonces estoy de acuerdo. Pero tenemos que tener una política que diga que aceptamos este riesgo, ahí es donde la gente tiende a ponerse nerviosa cuando tiene que poner su nombre en algo y aceptar el riesgo.

Rodney Campbell: Y Mike, no olvidemos que ellos deben comprender que son responsables de gestionar la relación. Porque puedo decirte que, en cuanto a la utilización, no hay forma de que lo hagan ... Mike Yaffy: Es completamente diferente. Así que debes asegurarte de que lo comprendan. Mike Yaffy: Y mira, yo empezaría... No sé cómo es la organización, pero he descubierto que a veces me perjudica, pero he descubierto que trabajar con el director financiero o con el departamento jurídico funciona, ¿verdad? Porque el director financiero entiende el riesgo y el posible impacto negativo de hacer esto, ¿verdad? Si tuviéramos un evento, sería X e Y. Y estas son las implicaciones financieras. Ya sabes, es la forma en que tienes que hacer que la gente se preocupe. Correcto. A veces, y bueno, es la estafa, es una consecuencia y algunos lo saben, y odio decir: «Oh, si se produce una infracción, el coste medio de una infracción es de un millón». Vale, lo entendemos.

Mike Yaffy: Mi mejor consejo, sinceramente, es que lo contextualices en tu organización. Mike Yaffy: Melissa, ¿por qué no pasamos al siguiente? Ahí lo tenemos. Muy bien. Creo que esto está bien. Tú lo has mencionado. Pero, ¿qué opinas tú? Has hablado de la transparencia como algo que necesitamos. Estoy de acuerdo. Pero, ¿cómo se consigue? ¿Cómo se consigue que la gente se siente alrededor de una mesa y mantenga conversaciones abiertas y sinceras? Rodney Campbell: Creo que una cosa que, como organizaciones o en todo el sector, hay que hacer es asegurarse de que, siempre que se evalúe un producto o servicio concreto, la transparencia, los resultados y las conclusiones de esas evaluaciones de riesgos de las actividades de diligencia debida se comuniquen a todos los niveles. No sirve de nada si las partes interesadas responsables de dar el visto bueno o rechazarlo no tienen ni idea de lo que está pasando desde el punto de vista de la diligencia debida, no tienen ni idea de lo que se ha identificado de forma inherente o residual. Si lo único que haces es realizar estas actividades solo para marcar la casilla y decir que lo hemos hecho, que estamos listos para seguir adelante, entonces eso no te sirve de nada y, de hecho, estás adoptando un enfoque equivocado. Por lo tanto, debes asegurarte de que todos los involucrados sepan que se trata de un proceso transparente, pero también atractivo. Si eres una parte interesada, tienes una responsabilidad y, a veces, lo mejor que puedes hacer es basarte en los hechos y la verdad. Por mucho que nos guste este producto o servicio en particular, hay que ser sincero. Sé que va a ser difícil comunicar lo que puede percibirse como malas noticias, pero hay que hacer lo que hay que hacer. Así es como se mantiene la honestidad del programa, pero también se sigue trabajando para proteger a la organización.

Mike Yaffy: Sí. No tengo nada que decir al respecto. Es la honestidad, ¿verdad? Es simplemente: esto es lo bueno, esto es lo malo. Y creo que es binario, sin emociones . Mike Yaffy: Pero volvemos a lo que dijimos antes. Creo que hay que establecer los criterios y luego hacer que todo el mundo se responsabilice de ellos. Rodney Campbell: Por supuesto. Creo que sin la gobernanza, no se pueden llevar a cabo estas actividades como es debido. Hay que asegurarse de que se puede optimizar y maximizar lo que se está haciendo en lo que respecta a la participación de las partes interesadas. Y, de nuevo, se puede ser tan transparente o creerse tan transparente como se quiera, pero la transparencia significa proporcionar datos concretos. No tienes nada que perder. Eres TPRM. Eres un profesional de TPR o formas parte de ese enfoque colaborativo para garantizar que se identifica, evalúa y mitiga el riesgo. Pero debes asegurarte de ser honesto con tus partes interesadas. Necesitan tener un conocimiento completo para poder tomar decisiones informadas.

Mike Yaffy: Sí. Y ese es tu trabajo. En eso consiste el trabajo, ¿no? Quiero decir, al fin y al cabo. Así que, gran respuesta. Gran respuesta, Melissa. ¿Por qué no pasamos a la siguiente? Eh, sabes, lo leí y ahora lo estoy releyendo. Y pienso: «No me gusta». Pero voy a formular la pregunta de otra manera. En primer lugar, ¿qué nivel de visibilidad tiene el programa TPRM o la gestión de proveedores en tu empresa? ¿Llega hasta la junta directiva? ¿Le importa a la junta directiva? ¿Le importa a la junta directiva en la medida en que no queremos que un proveedor incumpla, como... ya sabes, ¿cuál es el nivel de visibilidad? ¿Se presenta esto alguna vez, aunque sea en una diapositiva, o algo así?

Rodney Campbell: Puedo decirte que sí llega a la junta directiva en lo que respecta a nuestro GPR y al programa, llega a la junta directiva. Mike Yaffy: ¿Qué métricas? Entonces, ¿qué le importa a la junta directiva en relación con cómo se mide el éxito con la junta directiva? Sería un aspecto interesante. Terminemos esto y luego pasemos a eso también. Rodney Campbell: De acuerdo. Ahora bien, hay múltiples enfoques para medir el éxito. Creo que, ante todo, hay que asegurarse de proporcionar el nivel adecuado de transparencia a la junta. Ni demasiado bajo ni demasiado alto, pero hay que asegurarse de que la junta sea consciente del perfil de riesgo de su programa TPR. Deben comprender el riesgo inherente de sus proveedores. Deben comprender la estabilidad financiera de sus terceros. Deben tener una comprensión clara y transparente de quiénes son sus proveedores críticos y fundamentales. Eso es importante. ¿Quiénes son los proveedores de los que dependemos para mantener las luces encendidas y realizar nuestras actividades diarias? Eso es muy importante. Debe asegurarse de que cualquier problema, evento de riesgo, solución o aumento del riesgo asociado a sus proveedores críticos se identifique y se comunique también a la junta directiva. Pero la entrega de esa información debe ser muy importante porque, de nuevo, se trata de la junta directiva y supongo que algunas organizaciones, en segundo lugar después de la junta directiva o antes de llegar a ella, pueden tener algún tipo de comité ejecutivo de riesgos. Debe asegurarse de que ese comité de riesgos o cualquier otro comité que tenga fuera de su junta directiva conozca bien el TPR general y el estado del programa.

Mike Yaffy: ¿ Cómo respondes a dos preguntas? Una, ¿cómo cuantificas la salud general de tu programa TPRM? ¿Es una cantidad x de proveedores en verde? ¿Es que todo el mundo obtiene un ocho? Es decir, ¿cómo te gusta, sinceramente, cómo te gusta? Entonces, tienes este programa. Rodney Campbell: Sí. Mike Yaffy: ¿ Cómo estamos aquí o aquí o en el medio? Rodney Campbell: Me encantaría decir que todos los proveedores obtienen un ocho en su evaluación. Eh, eso sería perfecto. Mike Yaffy: Por cierto, estoy inventando cosas. Podría ser de uno a 100 y entonces podrías decir: Rodney Campbell: pero creo que la evaluación comparativa es importante. ¿Cuáles son tus criterios para medir el éxito? Porque si no tienes ningún criterio, nada con lo que comparar, entonces el éxito sería bastante subjetivo. Sería tu opinión y, si eres responsable de dirigir un programa TParn, estoy seguro de que tu opinión será la mejor de su clase. Por lo tanto, debes asegurarte de tener algo con lo que medir el éxito. Entonces, ¿cuáles son tus métricas para calificar y cuantificar que esto es bueno frente a esto requiere algo de atención, esto no es tan bueno? Mostrar algo a tu junta directiva o a cualquier ejecutivo o comité o alto directivo y quiero dejar claro que verde o digamos que tu ideal de perfección o bueno desde una perspectiva métrica no significa que tu TPR y tu programa sean buenos. También debe asegurarse de poder identificar lo que no es bueno, lo que requiere cierta atención por parte de la junta directiva, los altos directivos o la función empresarial. Por lo tanto, creo que es importante contar con métricas estrictas para decir: «Esta es la cantidad total de proveedores. Estas son las evaluaciones de riesgo residual. Este es el cumplimiento total de su inventario. ¿Cómo mide cuántas evaluaciones de riesgo se han realizado? ¿Cómo mide lo que se ha completado o cómo se ve la finalización? ¿Cuál es su tiempo de respuesta o diligencia debida, por ejemplo? ¿Está identificando, recopilando y evaluando la información adecuada para obtener un perfil de riesgo preciso de su inventario? Debe asegurarse de que dispone de mediciones fieles a la realidad para poder proporcionar a la junta directiva y a la alta dirección el valor total o la medición global del éxito de su programa.

Mike Yaffy: Una respuesta muy buena. ¿En qué se diferencia el comité ejecutivo de riesgos del consejo de administración? ¿Se trata simplemente de un mayor nivel de profundidad? Rodney Campbell: Sin duda, debería ser así. Hablamos del comité ejecutivo de riesgos y, en su organización, puede que se trate de algún tipo de comité de riesgos emergentes, del que yo he formado parte.he formado parte, y que los comités de riesgos suelen estar compuestos por varias personas de diferentes funciones de riesgo de toda la organización, lo cual supone una oportunidad para adoptar un enfoque colaborativo y tener una comprensión holística del riesgo que supone para su organización el compromiso con el producto o servicio, por lo que hay que asegurarse de que todas las personas que están en la sala debaten los temas. Tengamos verdadera transparencia, colaboración y plena conciencia de lo que implica el compromiso con el producto y el servicio, y de cualquier riesgo que pueda identificarse durante toda la duración de ese compromiso con el producto o servicio, diría yo.

Mike Yaffy: Muy bien, adelante. Tenemos una pregunta. Un asistente anónimo, mi tipo favorito. ¿Cómo se consigue que grandes empresas como Microsoft y Amazon se sienten a la mesa para realizar una evaluación de riesgos? En el pasado, no se les ha dado muy bien esto. Vaya. Si pudiera, probablemente haría la misma pregunta. Creo que, en nuestro caso, lo que diría y lo que recomendaría o sugeriría a otras organizaciones es volver a esa colaboración. Sé que hemos hablado del modelo de colaboración interna, pero hablemos de la colaboración externa. Cuando se establece una nueva relación con un tercero para la contratación de un producto o servicio, se pueden adoptar dos enfoques. Uno puede ser el enfoque de distanciamiento. Nos comunicamos por correo electrónico. Sabemos lo que necesitamos. Nos lo das y listo. Se firma el contrato. O puedes involucrar, y me refiero a involucrar activamente, a un proveedor de servicios. Hazles saber lo que es importante para ti en tu organización. ¿Qué necesitas para medir el éxito o, al menos, comprender el entorno de control externo o la suficiencia del mismo? Puedes hacerlo al principio. Ahora bien, pedir esa información no significa que la vaya a obtener, porque si fuera así, creo que mi equipo y yo obtendríamos todo lo que quisiéramos y pidiéramos bajo el sol. Pero creo que es un comienzo para la colaboración, asegurándose de que se involucra activamente. Establece esa relación desde el principio y trabaja en ella de forma continua. Del mismo modo que se realiza un seguimiento continuo, se colabora continuamente con los terceros, especialmente si son importantes, suponiendo que Microsoft probablemente sea un proveedor importante o de alto riesgo para su organización. Pero creo que el modelo de colaboración es importante. Y, de nuevo, no quiero decir que colaborar con las mejores intenciones le vaya a proporcionar lo que quiere o necesita, pero creo que es un buen comienzo.

Mike Yaffy: De acuerdo. Melissa, sáltate la siguiente y pasa a la siguiente pregunta. Creo que esto está bien y quizá la respuesta sea «métricas», y acabamos de hablar de ello. Pero Mike Yaffy: Me encantaría tener una respuesta subjetiva y otra objetiva, si las tienes. Pero para mí, incluso en marketing, lo medimos todo, ¿no? ¿Hemos conseguido un cliente potencial? ¿Hemos cerrado un trato? ¿Ha entrado algo en la cartera? No todo es un trato, pero ¿cuántas impresiones hemos conseguido? ¿Verdad? Así que tiene que haber una forma de establecer un punto de referencia y creo que sabes que tuve un director general en el pasado y la única pregunta que siempre me hacía era buena. No me caía especialmente bien, pero era una buena pregunta: ¿es un buen número o un mal número? ¿Verdad? Puedes decir: «Oh, enviamos 5000 evaluaciones». Vale. ¿Cuántos proveedores tienes? ¿Cuántos de primer nivel? Podrías decir: «Bueno, enviamos 5000, pero tenemos 10 000 proveedores y solo encuestamos a 500 de nuestro primer nivel». Así que, en realidad, 5000 es un número terrible. Correcto. Entonces, ¿cómo... y perdona por ser tan directo con esto? ¿Cómo muestras subjetiva y objetivamente el valor y la eficacia?

Rodney Campbell: Me gusta el enfoque objetivo. Me gusta abordar las cosas como si las personas que las revisan tuvieran poco o ningún conocimiento del programa o ya tuvieran dificultades para comprenderlo. Mike Yaffy: Saca tu Snuggie, eso es lo que estás diciendo. Rodney Campbell: Saca tus Snuggies. Pon las mantas en tus magdalenas. Mike Yaffy: Ahí lo tienes. Nuestras reuniones son perfectas. Te diré esto por nosotros en el Lafer Valley National Bank, nuestro programa de gestión de riesgos de terceros, queremos asegurarnos de que, para demostrar y mostrar el valor de la eficacia general de nuestro programa, tenemos que hacer algo más que mostrarte cuántas evaluaciones de riesgos hemos completado. Ahora, sí, vas a recorrer tus niveles. Tienes crítico, alto, moderado, bajo, y vas a tener una demostración, vas a poder demostrar que esto es lo que evaluamos en cuanto a riesgos en este trimestre. Está bien. Todo está bien. Pero, ¿qué sucede cuando evalúa el riesgo y todo está en verde, pero aún hay problemas, hay riesgos que no se han identificado y se informan o se informan incorrectamente? Usted quiere asegurarse de que su programa muestre el valor de la relación general. Entonces, ¿qué pasa con sus renegociaciones, sus renovaciones, porque su RORI es más que solo evaluaciones de riesgos? Si eres un profesional de TPR, debes comprender que estás realizando evaluaciones de riesgos y que también lo estás haciendo dentro de una frecuencia basada en el riesgo de esa relación contractual con el proveedor. Por lo tanto, si quieres demostrar el verdadero valor, si estás identificando riesgos, y hablemos de riesgos o de seguir aumentando a lo largo de la relación. ¿No deberías utilizar eso para tus renovaciones y renegociaciones de contratos, quizás para el precio?

Mike Yaffy: Por supuesto. Y la gente no lo hace lo suficiente, ¿verdad? Para mí, eso es un gran error. Rodney Campbell: Es un gran error. Mike Yaffy: Es un error enorme. Tienes todos estos datos sobre si están haciendo un buen trabajo o un mal trabajo y eso debería tenerse en cuenta en la renegociación del contrato. ¿Sabes qué? Tu asunto con la SEC te da ventaja, como mínimo. Te da más que eso. Rodney Campbell: Quiero decir que hay que verlo de forma holística. ¿Qué sentido tiene una vez que se ha firmado el contrato y ahora estás realizando tus reevaluaciones periódicas anuales, tus actividades de supervisión continua? Toda esta información, todos estos datos se recopilan a lo largo de la duración de esa relación hasta el momento en que decides o tomas la decisión de renovar el contrato, y ninguna de esa información se utiliza. Ninguna de esa información se tiene en cuenta en el proceso de renegociación o renovación del contrato. Así que realizas todas las actividades requeridas o exigidas por la normativa, pero no en tu beneficio. De hecho, es en tu perjuicio, porque no estás utilizando ninguna de esa información para renovar tus contratos, en particular para buscar proveedores alternativos. Por lo tanto, se pierde el valor, el valor global. Así que, de nuevo, basta con realizar las evaluaciones de riesgos . Podemos evaluar algo en un momento dado. Podemos realizar un seguimiento continuo, pero ¿cómo se aplica eso a la relación contractual general entre ¿Puedo arreglar algo que encuentro? Si encuentro algo sobre usted, ¿tengo la autoridad para hacer cumplir

Mike Yaffy: ¿ Una solución por tu parte, como proveedor? Y luego utiliza la maldita información que tienes en la renovación del contrato. Creo que esas son las dos cosas más importantes que TPRM, si me permites volver a subirme al púlpito, pero si consigues esas dos cosas, tendrás un programa realmente exitoso. Rodney Campbell: Por supuesto. No puedo insistir más en ello. No esperes hasta después, porque después de identificar los riesgos que deberías identificar al principio, para poder gestionarlos y supervisarlos adecuadamente y ver si aumentan o cambian de alguna manera que pueda ser perjudicial para tu organización. Te estás perdiendo muchas cosas. Por lo tanto, tu valor es más que las evaluaciones de riesgos.

Mike Yaffy: Right on. All right. So uh we got 1243. What I’m going to do is turn it over to uh Scott Lang. Uh he’s VP at Prevalent. And look, hope you’ve enjoyed the webinar. He’s gonna do like three to five minutes on us and then Rodney and I will stick around. We’ll answer any more questions uh that we get in during that time. So, you get 3 to 5 minutes, fire away. Rodney’s been awesome. So, this has been super helpful and um then we’ll take it from there. Okay. So, Scott, over to you, bud. Scott Lang: Awesome. Thanks, Mike. Um listen, you can advance to the next slide, please. Um look, guys, everything you heard about today is about building a collaborative and agile thirdparty risk management program in your organization, including multiple stakeholders, understanding different perspectives on risk, understanding what the stakeholders want as far as reporting goes, risk mitigation, ultimately remediation, who’s responsible for what invariably throughout that process. When we talk to our customers, they tell us they want to accomplish these three things as it relates to their programs. Number one, help them get the data they need to make better decisions, whether that’s, you know, where risks are coming from, how to calculate a proper, you know, risk exposure, um, scale your risks to, you know, what the appetite is for the business. business and you know get good data to prescribe some remediations, right? Getting good data. Second, increasing team efficiency and breaking down silos. A huge part of what we talked about today. Um and that’s all about um you know getting people together in uh you know a single version of the truth for processes for workflows uh and for data. So we’re all in effect singing from the same himnil. And then third evolving and scaling your program over time. You know these three things are what customers tell us they want most frequently out of their third party risk management program. The ideal end state, if you will, have that program be agile, able to expand and accommodate uh new vendors and suppliers, new third parties that you’re bringing on um and you kind of scale and and support the business about what’s next. Next slide, please. But what we find really gets in the way, and you can build this out one more uh as well, Melissa, this is a builder slide, you know, click and then click again. Um You know what we find is that these challenges that organizations face are somewhat unique to every stage of the life cycle. So you want to accomplish those three things. What gets in the way of you accomplishing those objectives for your TPRM program. Let’s look at it from a from a um you know process perspective. There’s a life cycle of that that relationship. As you’re throwing and selecting vendors, you’re probably dealing with limited risk insights, a lot of silos, manual processes, We’re looking at vendors as you’re performing your intake and your onboarding. You’ve got different teams, different processes and tools in place to make it happen. Manual processes and a lack of insight for calculating inherent risks to determine what that baseline is to allow you to then make good decisions on what type of risk assessment and strategy you want going forward. And then, you know, goodness gracious, the breads and the manual processes involved in the assessment in the remediation phase. You know, we do an industry study every year um to who assess the um state of third party risk management you know in the industry and we ask a very specific question in this study every year and it is you know are you currently using spreadsheets to assess your third parties and I am really disappointed uh to say that that number keeps going up every year two I guess three years ago was 42% last year was 45% this year 48% almost half the people that we serve in the industry are using spreadsheets to perform their assessments uh of their their third parties. Two ways to look at that. Number one, you know, that manual processes isn’t going to help you achieve those three objectives we mentioned earlier. Getting good insights, bringing people together and then scaling. I guess maybe the glass half full way to look at it is, hey, maybe more folks are doing third party risk. Anyway, as you progress through this life cycle relationship, you know, you you then move into the constant monitor ing and validation of controls phase and you you’re looking at disjointed tools and inefficiencies. You’re looking at measuring SLAs’s and performance and you’ve got SLAs’s uh sorry silo uh teams and manual tracking and very limited contract enforcement or no tieback to an overall risk profile and then inevitably as every relationship comes to an end um you’re going to want to offboard and terminate that relationship and you know that invariably is going to mean that you know you’ve got to um you know follow some sort of manual process to make sure that the final items are tied off. Anyway, those are the challenges that we see. Uh Melissa, click one more time. You know, what Prevalent delivers is the ability to do three things here. To simplify and speed up onboarding with a single source of the truth and a process to help you manage that third party relationship from the point you source and select them to the point where you offboard and terminate them. Second, deliver you a very streamlined process that closes gaps in risk coverage for these different teams in these different risk domains that you want to see covered at every one of these phases, be it onboarding, management or offboarding. And that really leads to the third benefit of unifying teams across the life cycle, right? Getting everybody together in a single solution, single set of data and processes uh to ultimately execute on the life cycle of that relationship. Next slide, please Melissa. We deliver it through a combination of um expertise in our people. We help uh do the hard work of thirdparty risk management on your behalf from on reporting, assessing, remediating and managing that vendor if you choose that. Uh we give you the the the most data available in the industry to help you make good decisions. More than half a million um uh profiles of vendor intelligence we have uh you know in our library. Constant inflows of information from the cyber business financial ESG and and reputational risk side. And we don’t just give you the data, we correlate it, we harmonize it, help you make good decisions. And all those decisions are helped to facilitate or facilitated through the platform. The third pillar uh of what we deliver all the workflows, all the automation, all the reporting, you know, are all centralized. So, a combination of the people, the data and the platform is how we help uh to address that problem we we talked about before. Next slide, please, Melissa. Ultimately, there are three things we want for you uh that we deliver in our solution. The first is to give you the comprehensive risk, performance, insights, analytics, and reporting to help your team be smarter in its decisioning processes. Second, to unify assessments, monitoring, and the life cycle to give you a single source of the truth of the enterprise to unify your program and to deliver you a program that is prescriptive and not just has built-in intelligations and automate automated workflows. We’ve got a whole army of experts uh behind that to help support you every step of the way. So, good intelligence, great automations, a prescriptive process. You know, we could help you from the from the point where you want to start building your program to you want to optimize it, you know, through its life cycle. That’s our approach. That’s what we do to help from a third party risk management perspective. I think it ties in perfectly to the theme today on building some organizational alignment, getting people rallied around a single set of processes, truths, and uh and data sets to make good risk based decisions. All right, that’s what I just shared today. I’m going to pitch it back over to uh Melissa. Melissa, I think we’re probably gonna open up for questions for uh for Mike and for Rodney.

Melissa: Sí. Um, que me leíste la mente. Um, mientras tanto, voy a lanzar nuestra segunda encuesta. Así que, ya sabes, igual que la primera, um, queremos ver... Vale, no sé qué ha pasado con mi encuesta de hoy. Uh, veamos. He terminado . Mike Yaffy: Nervios del primer día. Melissa: Ya sabes. Eso es todo. Tampoco es mi primera vez, así que no sé qué está pasando, pero Mike Yaffy: Los nervios del primer día no pueden con ello, ¿verdad? Cada año tienen mariposas en el estómago. Melissa: Ya sabes, nueva temporada, nuevo comienzo. Eh, ¿están buscando aumentar o establecer algo? Ya saben, especialmente si todavía están en esas hojas de cálculo, ¿están listos? para salir. Eh, háganoslo saber. Y por favor, sean sinceros. Haremos un seguimiento con ustedes. No hacemos estas encuestas solo por diversión. Eh,

Mike Yaffy: En realidad será Melissa. Melissa: No seré yo. Te prometo que no es solo un robot cualquiera. Mike Yaffy: Y di que no si no quieres hablar con Melissa. Ella no te molestará. Si quieres hablar con Melissa, di que sí. Melissa: Deja de ponerme en tus carpetas de spam también. Pero, ya sabes, tengo a Rodney. Mike Yaffy: Haz el gesto con el dedo cuando digas eso. Melissa: Oye, voy a encender la cámara para que puedas ver mi expresión. Pero sé que tenemos algunas preguntas, ya sabes, en proceso. Um, ya sabes, si hay algo que queráis abordar que no esté en la presentación, este es vuestro momento para hablar y, ya sabéis, es anónimo, si queréis hacer una pregunta, no tengáis miedo, esto es interactivo.

Melissa: Bueno, tuvimos uno, fue más bien una declaración de Kevin, ya sabes, Rodney, que habló un poco sobre las asociaciones, sobre no abusar de tus socios, así que ese es un gran consejo, lo digo en broma, pero tiene razón, no hay que aprovecharse de eso. ¿Qué opinas al respecto? Rodney Campbell: Sí, estoy totalmente de acuerdo. Creo que cuando hablamos de gestión de riesgos de terceros, a menudo posicionamos a los proveedores como una especie de alter ego. Y lo que quiero decir con eso es que son ellos los que presentan algunos de los problemas, eh, el riesgo, y su compromiso o falta de compromiso puede crear o generar más riesgo para tu organización. Pero hay que verlo desde esta perspectiva, volviendo a la colaboración. Debes asegurarte de que la relación entre tu organización y ese proveedor sea, supongo, una relación sana y fructífera. Así que, al principio, colabora y asegúrate de que comprendan perfectamente lo que necesitas, no solo el producto, sino también cómo puedes respaldar ese producto o servicio, y asegúrate de que sean conscientes de lo que necesitas desde el punto de vista de la auditoría y la diligencia debida. Cuéntales todo esto. Proporcione toda esta información al principio y deje que el proveedor o el vendedor se ponga en contacto con usted y satisfaga sus necesidades o sus demandas. Pero debe asegurarse de que la relación entre su organización y la suya sea una relación de colaboración, porque no se trata solo de usted, ni solo de ellos. Es algo que debe establecerse para el mejoramiento conjunto de sus organizaciones.

Mike Yaffy: Creo que es una pregunta estupenda para terminar. Lo has resumido muy bien, le has puesto el broche final. Bueno, tenemos una pregunta más. Sí, podemos hacerla. ¿Qué enfoque tienes para considerar el riesgo más allá de terceros, es decir, el riesgo que plantean sus terceros? Es decir, las partes finales. Rodney Campbell: De acuerdo. Aquí es donde he sugerido, o al menos explicado a muchos, volver al principio, a las primeras etapas. Ahora hay dos partes. Habrá relaciones que ya tienes en marcha. El contrato está firmado. Quizás las actividades de gestión de riesgos de terceros o las responsabilidades de gestión no eran tuyas. Eran de otra persona antes que tú. Así que ahora has heredado este proceso que estás empezando a comprender. Pero volvamos al principio. Al principio, cuando evalúa a los proveedores, si se trata de un proveedor que podría ser fundamental o importante para su organización, ¿no le gustaría saber si sus terceros críticos o fundamentales tienen terceros críticos o fundamentales? ¿Qué proveedores necesitan, en quiénes confían para entregar los productos y servicios a su organización? Eso es algo que debe preguntar desde el principio. Ahora, al pasar por el proceso de diligencia debida para los terceros existentes, incluso si no lo ha preguntado al principio, querrá preguntar quiénes son las organizaciones de subcontratación. Debería querer saber cuáles son las dependencias, no solo las dependencias críticas, sino también aquellas en las que se basan sus relaciones con terceros. Querrá asegurarse de que esos datos, el acceso a los datos, porque no se trata solo de dependencias. También se trata de comprender que estas dependencias pueden suponer un riesgo en lo que respecta al acceso a sus datos, los datos de su organización. Usted quiere saber cuáles son los controles que protegen esos datos. Ahora sabemos que no todo es perfecto, pero usted quiere asegurarse de que tiene cierta visibilidad y comprensión de aquellos terceros que pueden estar accediendo a sus datos, aparte de aquellos que son solo dependencias críticas para sus organizaciones de terceros.

Mike Yaffy: Muy bien. No hay más preguntas, conclusiones finales. Ryan, Rodney Campbell: Yo diría que sé que muchos están atentos porque son personas que están en proceso de crear sus programas y sé que su objetivo es asegurarse de que toda la organización comprenda la importancia de su programa, lo cual no es fácil y puede ser más difícil de lo que puedo expresar con palabras en este momento. Pero te sugiero que sigas por el mismo camino. Sigue haciendo lo correcto. Asegúrate de que, a medida que desarrollas tu programa, involucras a las partes interesadas y lo haces con transparencia. Hágalo a través de hechos. No de lo que usted quiere que sea el programa, no de algo conceptual, sino de hechos, transparencia y colaboración. Le puedo asegurar que, al hacerlo, creará el programa que necesita para su organización. No sucederá mañana, pero acabará surgiendo y resultará ser el programa adecuado para usted.

Mike Yaffy: Genial. Perfecto. Muchas gracias, amigo. Ha sido fantástico. Me encanta el ritmo. Ha sido divertido y creo que hemos tratado muchos temas. Muchas gracias por hacerlo. Melissa, ¿hay algo que debamos hacer antes de dejar que todos se vayan? Melissa: No, quiero decir, todos tienen un partido de béisbol que ver hoy si les gusta el día de apertura. Me lo he pasado muy bien escuchando a Rodney, Mike y, por supuesto, a Scott, así que nos vemos pronto en vuestros buzones de correo. Y... Sí, nos vemos pronto, chicos. Cuidaos. Adiós a todos.

Rodney Campbell: Gracias de nuevo. Melissa: Cuídate.