Seminario web bajo demanda: Caso práctico de Pfizer: cómo gestionar correctamente los riesgos de terceros

Peter Schumacher: Bienvenidos y gracias por participar en nuestro seminario web de hoy sobre cómo gestionar los riesgos de terceros. Escriba un caso práctico con los asesores Keith Walter y Governance. También nos acompaña Brenda Ferraro, directora sénior de redes y evangelista jefe de terceros de Prevalence. Mi nombre es Peter Schumacher y seré el anfitrión del seminario web de hoy.Tengo un par de cuestiones administrativas que tratar antes de empezar. En primer lugar, les recuerdo que el micrófono y las líneas están silenciados, pero con el fin de que esta sesión sea interactiva, les invitamos a enviar sus preguntas a través de la consola de Zoom. Si el tiempo lo permite, al final de la hora habrá una sesión de preguntas y respuestas en directo. El seminario web de hoy se está grabando y, en el próximo día laborable, recibirán un correo electrónico de seguimientocon un enlace a dicha grabación. Sé que no se han unido para escuchar mi voz, así que, en este momento, me gustaría ceder la palabra a Keith y Brenda. Muchas gracias por acompañarnos hoy. Adelante, por favor.

Brenda Ferraro: Gracias, Peter Keith. Bienvenidos. Estoy muy emocionada de poder compartir con todos ustedes el excelente trabajo que han realizado durante el último año para perfeccionar su programa de riesgos de terceros. Están listos para comenzar. Keith Walter: Por supuesto que sí, así que tendremos que cambiar de diapositiva. Aquí están los ponentes de hoy, para que puedan ver cómo somos. Están intentando conseguir una foto nítida de Keith, pero sin éxito. La dejaremos tal y como está. Como han oído, soy el evangelista jefe de terceros y director sénior de redes de Prevalent. Llevo unos dos años en Prevalent, pero mi trayectoria en el ámbito de los riesgos de tercerosse extiende a lo largo de seis años y tengo más de 20 años de experiencia en TI. ¿Y ustedes? ¿Cómo y cuándo se iniciaron en el ámbito de los terceros? Yo pasé 27 años en el sector químico y dediqué unos 15 de ellos a trabajar con terceros.

gestión de riesgos y otros aspectos relacionados con la gestión de riesgos, y desde hace tres años trabajo en Pfizer, donde me he centrado más en la gestión de riesgos y la ciberseguridad de las plantas, por lo que esta ha sido mi pasión durante al menos 17 o 18 años, y los dos hemos trabajado juntos durante más de cuatro años con el octavo paquete de hielo, ¿es así? Sí, son más de tres, sí. Brenda Ferraro: Deslizándolo en cuatro, muy bien, empecemos. Estoy segura de que nadie quiere saber la historia de cómo nos conocimos, pero hablaremos de por qué estamos aquí hoy. El riesgo de terceros-party risk ha evolucionado desde una posición de recopilación de contenido para tomar conciencia, tal vez utilizando estaciones activas, de una mejor comprensión de dónde se encuentran sus entidades, terceros, proveedores o distribuidores en cuanto a la seguridad de sus controles y si estos se ajustan realmente a los requisitos de sus clientes en materia de cumplimiento y necesidades normativas. Lo que ha hecho Prevalent es que tenemos la capacidad de evaluar, supervisar y compartir con un enfoque de 360º. Somos capaces de recopilar uno y compartirlo con muchos cuando se trata de cuestionariospodemos compartir con ustedes y con el exterior y el interior una visión de sus proveedores y entidades y lo que tienen establecido para su riesgo de terceros, y las redes que tenemos disponibles dentro de la industria nos están ayudando a decirle a las comunidades exactamente cuáles son las vulnerabilidades a medida que avanzamos y entendemos mejor cómo está cambiando el panorama de las amenazas, por lo quevamos a hacer una encuesta al comienzo de esta sesión para preguntarles a todos ustedes cuántas preguntas hay en su cuestionario de evaluación principal, así que Peter, si quieres comenzar esa encuesta, veremos qué obtenemos de la audiencia, porque realmente queremos hablar más sobre lo que hay en el cuestionario, ya que los cuestionarios solo te dicen lo que tus entidades te informan sobre sus controles, ¿verdad, Keith? Entonces miramos eso y decimos: «Dios mío, tenemos todo esto».

Los trolls y esto es lo que nos dicen, y tenemos que confiar en que lo que nos dicen es la verdad, ¿verdad? Keith Walter: Sí, soy un gran defensor de la supervisión, ya que te ayuda a tener una visión completa. ¿Estás obteniendo respuestas de calidad al cuestionario sobre los indicadores de la parte moderna? Las respuestas al cuestionario parecen estar en sintonía, lo que indica una buena calidad. Para mí, se complementan muy bien. Muy bien, parece quetenemos alrededor del 50 o 60 % de los votos, así que vamos a dar por terminada la encuesta y compartir los resultados. Peter, ¿te gustaría hacerlo? Alrededor del 50 % de los participantes en la llamada, de la mayoría que ha votado, ha dicho que tiene entre cien y quinientas preguntas en su cuestionario de evaluación primaria. Muy bien, eses interesante saberlo y, a veces, por parte de los proveedores, se da una situación en la que hay muchos cuestionarios y, a veces, no son significativos ni relevantes, así que queremos empezar a centrarnos en contenido relevante y significativo y en esfuerzos para identificar el riesgo y mitigar lo que es importante para esos compromisos. Keith, hablemos del enfoque unificado basado en el riesgo que has puesto en marcha recientemente. Brenda Ferraro: Sí, los puntos principales de esta diapositiva que realmente quiero destacar son los que se mencionaban en la pregunta principal sobre nuestro cuestionario principal que hemos utilizado durante el último año y medio o dos años. Se centra realmente en la reutilización del sector y228 preguntas, pero lo que hemos aprendido durante ese tiempo al analizar realmente los datos es que recopilamos los metadatos adecuados por adelantado sobre el proveedor y algunas cosas básicas que, si están disponibles, como el stock 2, etc., nos permiten centrarnos realmente en que alrededor del 15 % de esas preguntas son realmente las que nos hacen cambiar de opinión.

si celebraríamos o no un contrato o si continuaríamos con un contrato con una parte existente, por lo que los denominamos controles clave; los denominamos controles cuando evaluamos un riesgo; si estuviéramos creando el servicio nosotros mismos, estos serían los controles que sin duda querríamos incluir en la lista de requisitos, por lo que comenzamos con esa lista de controles y luego volvimos al cuestionario que teníamos y utilizamos el concepto de, básicamente, decir qué preguntas aquí son indicadores principales para mí de que este proveedor realmente está cumpliendo ese control de manera adecuada.

Así que vamos aanalizaremos detenidamente esa cuestión, seleccionaremos una o dos preguntas que realmente garanticen que ese control está presente y eso nos dará una buena indicación con una gran capacidad para examinar las cosas rápidamente, centrarnos en los riesgos más elevados e impulsar realmente la inversión de nuestros evaluadores, nuestro negocio, etc., en los controles más importantes, cuya ausencia les perjudicaría más, lo que significa que realmente puedo compartir, disponer y hacer un seguimiento hasta su cierre, puedo gestionar los riesgos más críticos para Pfizer y, por lo tanto, impulsarlos hasta su cierre, en lugar de intentar ser un purista y resolverlo todo. Puedo resolver los elementos más importantes, así que eso es lo que extraería de esta diapositiva. Recuerdo cuando empezamos a trabajar juntos en Prevalent y Pfizer madurando el programa. ¿Me puedes recordar si es cierto que al principio utilizabas hojas de cálculo de Excel? Keith Walter: Sí, sin duda el proceso comenzó con hojas de cálculo de Excel, que no se prestan a un enfoque verdaderamente basado en el riesgo con flujos de trabajo automatizados y cosas por el estilo. Es complicado intentar aplicar datos de buena calidad y responder es difícil en una hoja de cálculo de Excel, y solo hay mucho intercambio de información.

Los retrasos, los correos electrónicos perdidos, todas esas cosas realmente no nos permitieron responsabilizar al proveedor por la recogida, responsabilizar al evaluador con un acuerdo de nivel de servicio (SLA) para realizar la evaluación y también en el reparto y seguimiento, realmente responsabilizar en función del riesgo, ya sea a nuestro propietario de Pfizer, y por los riesgos más críticos, seguimos responsabilizándolos, perotambién se nos ha dado esa supervisión de gobernanza para que nuestro consejo de administración y nuestro sitio estén tan satisfechos y seguros de que he llevado este riesgo en la dirección que ellos solicitan. Brenda Ferraro: Me alegro mucho de que hayas elevado tu madurez de una hoja de cálculo a un flujo de trabajo y una capacidad automatizada, de modo que ahora puedas empezar a tomar decisiones basadas en más información al alcance de tu mano, lo cual es fantástico. La siguiente pregunta de la encuesta es: ¿has automatizado tu programa de evaluación de tercerosprograma de evaluación de terceros para recopilar información sobre riesgos más allá del uso de libros de Excel? Peter, si no te importa, empieza con esa pregunta de la encuesta y les daremos la oportunidad de responder. Me encantaría acercarme al cien por cien de los votos, así que, para aquellos que estáis en casa, en el trabajo o en el coche, no lo hagáis en el coche.

Por favor, no te bloquees, pero te gusta saber dónde estamos con todos en esto, es muy interesante, Keith. Hablo con muchas empresas del sector y hay muchas que siguen utilizando Excel. Keith Walter: Sí, y sin duda, si eres una entidad pequeña, ese es posiblemente el mejor lugar para estar si realmente no lo necesitas, pero en cuanto quieras entrar en volumen y quieras impulsar realmente una visión y un enfoque basados en el riesgo...

Hay ciertas capacidades que se han vuelto importantes para nosotros, de las que oirás hablar a medida que avancemos en la conversación, y realmente creo que necesitas una herramienta para dar un paso adelante en ese sentido. Lo bueno es que hemos encontrado una forma clara y eficaz de aumentar considerablemente nuestro número de evaluaciones por empleado a tiempo completo y, al final, eso es un retorno de la inversión yes realmente donde nos hemos medido a nosotros mismos para asegurarnos de que estamos haciendo las inversiones adecuadas y buscando a los proveedores adecuados, por lo que no solo medimos la eficiencia de las herramientas en el personal para obtener un retorno en volumen o capacidad, sino que también medimos y vamos a hablar un poco sobre algunas de las bandas y mediciones que hacemos sobre cómo hemos medido nuestra flota, cuántos realmente no tienen problemas , cuántos realmente están presentando fallos importantes en los controles clave que estamos impulsando el cambio con ese proveedor. Brenda Ferraro: Sí, bueno, parece que tenemos el 61 % de los votos, así que si queremos terminar con eso y compartirlo, sería estupendo y agradable a la vista.

El 45 % de los que votaron dijeron que ya no utilizan hojas de cálculo ni libros de Excel, el 27 % dijo que sí, el 18 % dijo que están en proceso y el 10 % dijo que no es aplicable a E. Gracias por los resultados. Empecemos a hablar de cómo entra en juego la fase de enfoque basada en el riesgobasado en el riesgo. Queríamos ayudar a Pfizer a crear un proceso utilizando cuatro pasos muy sencillos: el primero es preparar, el segundo es recopilar, el tercero es evaluar y el cuarto es realizar un seguimiento y remediar. También queríamos ofrecerles la posibilidad de tener un flujo de trabajo automatizado y flexible. ¿Les gustaría hablar sobre lo que Prevalence hizo con su programa y sus esfuerzos para utilizar este enfoque de cuatro pasos en la fase cuatro de la evaluación basada en el riesgo?

Keith Walter: Sí, gracias, Brenda. Esto encaja muy bien con mi visión interna de cómo veo realmente la satisfacción de las necesidades de la empresa para que puedan conocer de manera oportuna y eficiente los riesgos que están a punto de asumir al firmar un nuevo contrato o al trabajar actualmente con un proveedor existente, por lo que en la parte de preparacióndestacaré que se trata realmente de disponer de los metadatos blancos sobre la participación del proveedor cuando se activa, por lo que disponer de campos personalizados en los que se pueden capturar esos campos adicionales realmente permite la automatización y la respuesta en esos casos difíciles, esas situaciones extrañas en las quetienes algunos de esos metadatos al alcance de la mano, lo que permite a los recursos ejecutar de manera realmente eficiente la fase de recopilación, que es muy importante aquí para tener realmente correos electrónicos automatizados y tareas automatizadas para hacer realmente los traspasos de nosotros mismos a Prevalent para realizar las actividades de recopilación al proveedor que se impulsa y se le recuerda, y luego de vuelta a nosotros para que podamos coordinar realmente la devolución del cuestionario validado, darle la vuelta y convertirlo en una acción de los evaluadores entregada sin necesidad de estar en la bandeja de entrada y sin mucho trabajo extra realmente Tendré el cuestionario publicado y generaré automáticamente el correo electrónico con las deficiencias clave de control clasificadas en la parte superior, listas para que el evaluador las valide en unos segundos. No parece un lugar en el que los evaluadores vayan a llevarlo directamente a la empresa y, a continuación, en función del riesgo, lo entreguen a la empresa y esta lo rastree por sí misma o, si el riesgo es lo suficientemente alto, obviamente, nosotrossupervisaremos el seguimiento de la gobernanza e impulsaremos la corrección y la consulta con la empresa a través de esos pasos, por lo que tener un SLA x de flujo de trabajo de principio a fin y una responsabilidad clara con escalamiento pasado es fundamental para nuestro éxito en conseguir realmente esa eficiencia por FTE que queremos tener. Brenda Ferraro: Y creo que lo mejor es el hecho de que pasamos por el proceso de definir el universo de proveedores que tenías o el universo de proveedores, como tú lo llamas, y luego tener la capacidad de

para ampliar los esfuerzos por identificar rápidamente los riesgos mediante preguntas en los cuestionarios e incluso utilizando algunas de sus otras soluciones para incorporar la referencia cruzadade si esa información era adecuada o no y, luego, cuando trabajamos en las pizarras blancas, lo llamamos «magia de la pizarra blanca», y me encantan los rotuladores y las pizarras blancas, pudimos identificar la duplicación de la productividad de los empleados a tiempo completo al pasar de una hoja de cálculo de Excel a un programa que ahora tiene la capacidad de proporcionarle la información al alcance de la mano con un flujo de trabajo automatizado, los perseguidores están automatizados, etcétera, etcétera. ¿Tiene algo que añadir a eso? Keith Walter: No, creo que el flujo de trabajo es simplemente la capacidad de crear tareas y la capacidad de limpiar los traspasos en una herramienta común que no se ve sepultada por los correos electrónicos y todo lo demás, y que te envía recordatorios por correo electrónico de tus tareas o de los vencimientos y demás. Todo ello forma parte de habilitar cada uno de esos componentes clave, esas personas clave, para que puedan equilibrar una carga de trabajo muy intensa, porque ese es el mundo en el que todos operamos. Brenda Ferraro: Estoy de acuerdo, así que profundicemos en el enfoque por fases. Creo que vas a hablar de esta diapositiva sobre todos los componentes que se necesitan para prepararse para el éxito. Keith Walter: Sí, lo que realmente quiero explicar aquí es que hay que pensar que, cuando te preparas, es como cualquier otra cosa: cuanto mejor te prepares, más fácil será, diría yo, que la solicitud salga adelante y tu servicio tenga éxito. En esta diapositivadestacaré un par de partes. La primera es el perfil del proveedor. Tómate el tiempo necesario para planificar cuál es la información crítica que necesitas para que el resto de los pasos se desarrollen con éxito, recopilando esos metadatos sobre el proveedor y simplemente...

La descripción de la frase «¿qué estamos tratando de hacer con este proveedor?» y el hecho de que la empresa lo ponga por escrito realmente ayuda a los evaluadores a comprender qué es importante y qué no lo es, sin saber realmente ese tipo de cosas, las normas de control, conociendo internamente sus propias normas que espera que alguien cumpla y luego realmente tomando sus reglas del cuestionario, como yo lo llamo, es realmente mirar su cuestionarioestás utilizando y decir qué preguntas son realmente indicadores adelantados de que los controles que espero están presentes. Sin duda, ayudamos en el perfil del proveedor recopilando datos como cuánto sabes que los datos SPI están expuestos a este proveedor o si este proveedor es crítico desde el punto de vista operativo para el flujo de caja y las actividades de Pfizer, etc. Esas cosas recopiladas en el perfil del proveedor nos permiten realmente clasificar el modelo de los datos expuestos y la importancia del proveedor para nosotros. Sin duda, aprovechamos los anexos de los contratos y la estandarización.Hablaremos de eso en unos minutos y, lo que es más importante, el estado del flujo de trabajo, dedicando realmente tiempo a pensar un poco si tiene suficientes estados de flujo de trabajo para saber realmente dónde y quién está retrasando las cosas que pasan por su motor aquí, que está tratando de satisfacer en cuanto a solicitudes, y si tiene suficientes estados que realmente respalden sus métricas y KPI para saber dónde hay nuevas mejoras en su proceso, dónderealmente estamos quedando cortos y también por qué estamos quedando cortos, para poder centrarnos en ello y seguir impulsando la eficiencia y el cambio que permite a su negocio cumplir con sus plazos, porque en muchos de estos casos, las renovaciones de contratos y las negociaciones de contratos diarias hacen que el negocio pierda la capacidad de alcanzar los beneficios que persigue. Brenda Ferraro: Y me gusta mucho la parte sobre el compromiso de las partes interesadas, porque si tienes un comité directivo que está disponible para los elementos de disposición, asegurándote de que si vas a aceptar

terceros o proveedores para seguir adelante sabiendo que corren un riesgo, que el compromiso de las partes interesadas y contar con un comité directivo es realmente clave. Keith Walter: Por supuesto. Brenda Ferraro: Hablemos entonces de los perfiles de los proveedores. ¿Qué es lo más importante que has aprendido, o quizá las dos cosas más importantes que has aprendido al rediseñar tu programa, que te han ayudado a conocer mejor quiénes eran tus proveedores y qué cosas era importante saber sobre cada uno de ellos para mantener la coherencia en el flujo de trabajo? Keith Walter: Sí, probablemente el principal reto que he seguido aprendiendo a lo largo de los años es tener contactos precisos y motivados tanto dentro de tu empresa como propietario del negocio como con el proveedor. Probablemente sea el mayor reto en cuanto a la calidad de los datos, especialmente si estás lanzando algo nuevo. Nos gusta hacer una actualización de las revisiones de los proveedores existentes y nos gusta hacerlo en lo que llamamos oleadas o paquetes, y cuandoestás haciendo un par de cientos de ellas de golpe, tienes que esperar que haya un problema de calidad de datos del diez por ciento, ya que vemos que al menos un contacto o entidad, o varios, ya sean contactos internos o externos, cambiarán cada año en tu flota, así que si lanzas cien, eso significa que tienes diez que van a fallar y hay que asegurarse de que, como dije en la última diapositiva, el estado del flujo de trabajo sea el correcto.

Poder señalar cuándo un correo electrónico rebota como no entregable. Poder saber cuándo algono se ha recibido en el primer punto del acuerdo de nivel de servicio previsto por el proveedor; ¿se ha registrado el proveedor?; ¿han respondido siquiera? Si han respondido al menos a 15 preguntas, sabemos que tenemos a la persona adecuada, que se han registrado y han empezado a responder a las preguntas. Tener esa visibilidad es fundamental para saber de forma rápida y temprana cuándo es probable que tengas un contacto malo, por lo que gestionar los contactos, estar atento a los contactos que son un error y cómo eso se manifestará en problemas de KPI, etc., es fundamental para el éxito y eso es probablemente

Realmente, lo que yo destacaría de esta diapositiva Brenda Ferraro: Pienso en los campos personalizados que estás creando y que te ayudan a comprender si hay información de contenido pertinente que debes conocer para fines de presentación de informes, como por ejemplo, ¿de qué trata la información?, ¿se trata de información nacional o internacional?, ¿quién es el evaluador? Cosas que son muy fáciles de identificar y, luego, ¿podrías hablar un poco sobre dónde empezaste? Tienes tantos terceros y proveedores, ¿cómo supiste por dónde empezar? Keith Walter: Sí, se trata de seleccionar por dónde empezar. Creo que, como gestor de riesgos, mi actitud es elegir una forma de identificar dónde crees que están tus mayores riesgos y empezar por la primera parte de tu programa. Creo que el mayor error es que alguien piense que tiene que abarcarlo todo desde el principio y empezar a perfeccionar tu proceso, perfeccionando los datos que necesitas para respaldar tu proceso.Estoy convencido de que en un año pudimos hacer mucho más con esa actitud que si hubiéramos intentado perfeccionarlo, porque creo que habríamos llegado casi al final del año y habríamos tenido dificultades con el cambio radical y probablemente no habríamos hecho mucho en el último trimestre, en lugar de hacer algo y ampliarlo a medida que avanzábamos, por lo que creo que es importante hacer cambios radicales concertados y planificarlos.

Sin duda, elige la primera opción, analiza tus criterios y ponte en modo empresarial, siéntate con la empresa y comprende cuáles podrían ser algunos de los mejores desencadenantes. Creo queencontrará muchos de los departamentos de kurma con los que he trabajado a lo largo de mi carrera que tienen el concepto de socios estratégicos o la lista de proveedores más importantes, porque es fundamental para la empresa. Saben que es encontrar esa lista y hablar con ellos sobre el porqué, además de sentarse con el negocio y preguntar: si se ofrecen múltiples servicios, ¿cuáles son los que realmente proporcionan más ingresos? Y luego preguntar: ¿qué proveedores son críticos?

para la generación de esos ingresos y comprender realmente que es fundamental examinar las leyes de cumplimiento normativo. Otra área en la que hemos encontrado mucho valor es lo que llamamos básicamente una conexión con socios, en la que conectamos nuestra red con otros socios clave, obviamente a través de cortafuegos, pero en realidades algo que, como parte de los departamentos de servicios digitales de TI, tenemos los datos al respecto, por lo que es algo que se puede extraer y datos a los que podemos acceder fácilmente y realmente encontrar aquellos en los que estamos exponiendo el mayor riesgo, porque estamos abriendo puertos y cosas entre socios clave.

Sin duda, hay diferentes niveles de eso y comprender que utilizar los datos de su cortafuegos para ayudarle a partir de los datos que encontramos extremadamente exitosos para encontrar cuáles son realmente los mejores socios con esos criterios que podrían ayudarnos a centrar nuestro tiempo, dinero y energía Brenda Ferraro: Otra cosa que creo, y corrígeme si me equivoco, es que seguiste un enfoque metódico y normativo, por lo que elegiste un grupo o tramo de tu perfil de suministro particular y empezaste con ellos basándote en las necesidades de cumplimiento y normativa, ¿verdad? Keith Walter: Sin duda, con las preguntas clave que queremos tener, los controles clave, sin duda la privacidad, identificamos 26 preguntas clave que realmente son indicadores adelantados de que esos controles se encuentran en un estado responsable y eso realmente nos ayuda a centrarnos en eso, obviamente, cuando vas más allá de esa estricta normativa, hay controles operativos que son críticos para la prestación del servicio y la madurez y disponibilidad de un servicio y ahíes donde claramente hemos añadido otras 9 o 10 que realmente nos sitúan en 35 preguntas indicativas que impulsan nuestras listas de control del programa. Brenda Ferraro: Excelente, pasemos a nuestra siguiente pregunta de la encuesta: ¿exige usted a sus terceros el mismo nivel de seguridad que a usted mismo?

Requisitos estándar controlados Peter, ¿quieres mostrar eso? Este es uno de mis favoritos porque siempre tengo en cuenta el hecho de que debemos asegurarnos de que los controles que utilizamos dentro de nuestro castillo y nuestras cuatro paredes se cumplen y se aplican realmente a terceros, cuartos, quintos y partes finales, por lo que este es un aspecto crítico que considero muy importante. ¿Qué opinas, Keith? Keith Walter: Por supuesto, y también funciona al revés: no les exijas un estándar que tú no estás preparado para cumplir. He visto algunos programas orientados al cumplimiento en los que se quiere aprobar todas y cada una de las preguntas que se plantean, pero, siendo realistas, hay buenas razones comerciales por las que no todo el mundo hace las cosas de la misma manera, y eso puede causar algunos problemas, así que no hay que centrarse realmente en los controles clave, los riesgos clave, comprender cuándo los demás son potencialmente, cuándoestás fallando en un aspecto clave, cuáles son las preguntas relacionadas que quiero entender y que pueden ayudarme a tener una visión completa. Ahí es donde el evaluador obtiene valor de unas pocas preguntas adicionales que se responden y que se basan en el riesgo. Sin duda, hay lugares en los que quieres hacer muchas más preguntas y tener ese conocimiento. Brenda Ferraro: Muy bien, terminemos la encuesta. Parece que el 69 % dice que sí, el 18 % dice que no y el 14 % dice que no está seguro. Parece que hay un pequeño error tipográfico en la pregunta, pero básicamente se preguntaba si esperabas los mismos estándares de control de tus terceros que los que esperas de ti mismo. Fue culpa mía.

Peter Schumacher: No pasa nada, Peter. Yo también cometo errores, eso nos hace humanos, así que me alegro de que no seas un robot. Gracias por eso. Brenda Ferraro: De acuerdo, dejaremos de compartir esos resultados y pasaremos a la siguiente diapositiva. En la siguiente diapositiva, lo único que quiero destacarles a todos es que, durante mis conversaciones con las empresas, y se incluyen los intentos, adoptamos un enfoque con nuestros proveedores que no consiste en castigarlos porque no tienen el control adecuado, sino en hacer que evolucionen el ecosistema y la comunidad para ayudar a aquellas otras empresas que quizá no sean grandes,son más bien pequeñas o medianas y necesitan ayuda para madurar en materia de seguridad y normas de control. Hablemos, pues, de las normas de control y de lo que han aprendido sobre lo que ocurre cuando se crean controles clave y lo que eso significa realmente para ustedes, así como de los esfuerzos por evolucionar. Keith Walter: Claro, en primer lugar, los controles clave que yo defino son realmente los controles que diríamos o, sin duda, nos gustan las palabras «imprescindibles» cuandoestuviéramos diseñando si fuéramos a implementar la solución real nosotros mismos y luego volvimos al cuestionario y dijimos qué preguntas, si se respondían correctamente, la mayoría de los casos de uso o la experiencia que tenemos es una sala llena de expertos en control, tanto personas encargadas del cumplimiento normativo como personas basadas en el riesgo, profesionales de la seguridad, etc. ¿Cuál es su experiencia? Y lo que realmente observamos es que el 15 % de las preguntas que teníamos realmente nos daban esa visibilidad y luego realmente hicimos unas cien evaluaciones de proveedores en las que examinamos a fondo todas las preguntas y nos centramos en los controles básicos, y cuando lo hicimos, descubrimos que con ese 15 % de las preguntas podíamos obtener al menos el 80 % de la claridad de seguridad que realmente queríamos, y podíamos hacerlo mucho más rápido y centrarnos realmente en los mayores riesgos, y como unidad hay unun lugar y un momento para examinarlo todo, sin duda cuando se trata de un asunto de cumplimiento normativo y es lo más importante, ya sabes, el principal proveedor de tu empresa.

Para el éxito de su empresa, usted sabe que va a examinar más preguntas, pero en muchos casos lo que hemos descubierto es que podemos determinar rápidamente que este proveedor tiene realmente una buena reputación, y lo que hemos descubierto es que cuando veíamos muchos casos así, realmente noteníamos un gran problema y no podíamos encontrar nada, incluso cuando examinábamos más detenidamente el resto de las preguntas de importancia, pero cuando encontrábamos fallos en estos controles clave, especialmente cuando había un número significativo de ellos, realmente se trataba de una empresa con un programa de ciberseguridad deficiente y entonces sabíamos que era un aspecto en el que debíamos centrarnos, basándonos en el riesgo que esa entidad suponía para nuestro negocio.

para ayudar realmente a las empresas a centrar sus esfuerzos en lo que les reportará mayores beneficios a la hora de reducir los riesgos de sus operaciones y sus requisitos de cumplimiento, por lo que, sin duda, en esta diapositivarealmente estoy haciendo hincapié en los controles clave impulsados por su compromiso, que usted debería estar recopilando. El compromiso que estoy llevando a cabo forma parte de los metadatos cuando se inicia el proveedor y los controles pueden ser diferentes de un compromiso de privacidad, en el que el intercambio de datos de privacidad es realmente el objetivo, frente a algunos de estos que proporcionan un servicio más crítico para el funcionamiento de la empresa. Es posible que tenga más controles en la escala, lo cual tiene sentido, pero si se fijan en muchos de los controles basados en la privacidad,son simplemente buenas prácticas recomendadas y las promovemos constantemente. Como dije, en los primeros cien casos que tratamos, demostramos que en más del 95 % de los casos podíamos investigar más a fondo, pero en realidad eran unos pocos los que ya nos indicaban que había un problema grave o que no había ningún problema en absoluto, simplemente analizando las preguntas clave fundamentales que deben tenerse en cuenta. Brenda Ferraro: Sí, creo que lo que realmente aprecio del liderazgo intelectual que has puesto de manifiesto en tu programa es que has definido los controles clave por compromiso y, a veces, por el número.

No es lo mismo asegurarse de que su departamento supiera qué elementos debían mitigarse frente al mismo riesgo y priorizar esos riesgos en todos y cada uno de los proveedores con los que trabajaba, que crear una biblioteca de riesgos para que, si no se cumplía un riesgo, tuviera lo que se esperaba ya programado en la solución, de modo que sus evaluadores pudieran hablar el mismo idioma que el terceroo proveedor para hacerles saber que no se ha cumplido esto, hay un control compensatorio que tal vez aceptemos asumir, pero este es el plazo, esto es lo que buscamos, por lo que realmente se está mejorando el ecosistema al proporcionar esa ayuda basada en la madurez que se tiene con los propios controles.

Keith Walter: Sí, gracias, Brenda. Sin duda, esto es importante para aquellos a los que voy a plantear preguntas clave de control que estamos señalando y redactando una respuesta repetible, y dedicando tiempo a escribirla en lenguaje empresarial. No solo estamos encontrando una situación de proveedores mucho más receptiva, sino que, lo que es más importante,hemos sido capaces de redactarlo de tal manera que los propietarios de negocios de Pfizer realmente encuentran un valor en ello, una vez que empiezan a comprender por qué lo estamos impulsando, entonces pueden realmente trabajar con el informe que sale del sistema y actuar en consecuencia, y en muchos casos estamos encontrando un porcentaje cada vez mayoren el que el negocio interno de Pfizer dice: «Lo tengo, voy a ir al proveedor, no estoy contento con estos problemas, los voy a tratar y realmente se están alejando y diciendo que este es un poco diferente en un pequeño porcentaje y realmente quieren la ayuda del evaluador, um, la primera vez que un propietario de negocio de Pfizer dado

Todavía quieren que les llevemos de la mano y les orientemos, pero cuanto más les capacitemos para que sean autónomos, más volumen podremos gestionar y más podremos estar ahí para analizar la siguiente parte de nuestro ecosistema y nuestra flota de proveedores, con el fin de asegurarnos de queestamos mirando más en lugar de centrar nuestra energía en unos pocos. Cuanto más amplio es mi punto de vista, más seguro me siento de haber equilibrado los riesgos totales de Pfizer. Creo que las reglas de honestidad y los cuestionarios y la evaluación de riesgos son un tema que parece estar surgiendo en todas las industrias y es algo en lo que quizás puedas ayudar a las personas que participan en la llamada a aprender sobre lo que encontraste exactamente cuando elaboraste estas reglas y definiste esos criterios de evaluación de riesgos. Brenda Ferraro: Sí, cuando lo defines, creo que dijimos cómo lo hice. Creo que el hombre quequería destacar en esta diapositiva es que, cuando se elabora el presupuesto para la respuesta al final, se pueden reducir realmente los costes basándose en el último comentario que acabo de hacer, ya sabes, escribir las respuestas estándar por adelantado, pero en el centro descubrí que alrededor de un tercio de mis proveedores realmente no tenían problemas clave de control de riesgos, así que dejé pasar esos roles y seguí adelante, pero eso significa que hay otro porcentaje mayor en el querealmente digo que tenemos que trabajar y presupuestar recursos y hacer un plan para redactar esas respuestas predefinidas que realmente ayudan a gestionar el tiempo y la energía que se invierten en el lugar adecuado.

Así que presupuesten esos recursos. Según varios compañeros con los que he hablado, parece que un tercio está en buena situación y no es necesario tomar ninguna medida real. Es una especie de norma que he observado en algunas personas con las que he hablado, parece ser una especie de tendencia estadística. Brenda Ferraro: Lo bueno de la solución es que cada cliente tiene la posibilidad de establecer su propia tolerancia al riesgo y su clasificación de riesgo. Por ejemplo, en el ámbito de la asistencia sanitaria y la red, se dispone de un repositorio de cuestionarios completados, contenidos y pruebas recopiladas de terceros o del proveedor, y luego, cuando se transfiere al

Fiser, por ejemplo, o view, usted ha configurado la solución para que se adapte a su apetito y actitud de tolerancia al riesgo, de modo que pueda determinar realmente cuáles son esas decisiones basadas en el riesgo en el caso de que tenga a alguien que tal vez sea un proveedor de servicios en la nube frente a alguien que tal vez sea alguien que se dedica a la fabricación para usted, y eso es lo que me gusta ver cómo ha evolucionado con su programa, con la forma en que usted es capaz de analizar y clasificar los riesgos en función de esos niveles de tolerancia. Keith Walter: Por supuesto, los modelos de clasificación son muy importantes para muchas empresas cuando empiezan a analizar su cartera y se dan cuenta de que tienen decenas, cientos, miles o incluso miles de proveedores y suministradores. Saber qué tipo de evaluación se aplica a cada tipo de clasificación es algo con lo que algunas empresas tienen dificultades. ¿Cómo definió qué tipo de diligencia debida se iba a aplicar? Brenda Ferraro: Sí, creo que es importante pensar con antelación en la fase de preparación y eso es realmente lo que quiero destacar con esta diapositiva: en nuestro caso y en nuestro sector, realmente en la fase de preparación, comprender cada compromiso con los proveedores, asignar un nivel de riesgo a los proveedores, así como un nivel de riesgo potencial del compromiso, ya que esas cosas pueden ser drásticamente diferentes. El ejemplo queutilizaré se refiere especialmente a los proveedores que ofrecen muchos servicios diferentes. Un buen ejemplo es IBM, porque ofrecen de todo, desde soluciones para PC hasta servicios de consultoría, pasando por Watson, etc. Son solo uno de los muchos ejemplos en los que sus servicios abarcan toda la gama y, como sabes, el riesgo puede ser totalmente diferente, así que hay que tener cuidado y comprender lo que se está haciendo.

Aprovechar los datos y creo que en la pantalla se pueden ver algunas de las cosas sobre las que nos aseguramos de recopilar información. Intentamos que el cuestionario para determinar el nivel de riesgo se reduzca a unas 15 preguntas de tipo casilla de verificación, de modo que la empresa pueda realmente clasificarlas por bandas, como voy a decirme el nivel de exposición de los datos SPI que expones o el número de compuestos de investigación a los que Dana está expuesta.Les pediré que digan si exponen alguna de estas bandas y, si dicen que sí, seleccionen la banda. Las bandas son bastante amplias, pero me permiten comprender el nivel crítico alto, medio o bajo de compromiso del proveedor en el que quiero centrarme, así que creo que es mejor mantenerlo sencillo para la empresa, utilizar su lenguaje, pero fijarse en el modelo de clasificación de su propia empresa y en algunos de estos factores a la hora de diseñarlo. Brenda Ferraro: Sí, el último punto que tenemos en el proceso de preparación de la seguridad se refiere a los contratos, y lo que me llamó la atención aquí es que muchas empresas pasan por el estrés de la revisión y, en algunos casos, esos contratos pueden decir que solo tienen derecho a realizar una auditoría al año, pero hay que tener en cuenta que una auditoría es diferente a una evaluación, así que sí, puede hacer que alguien venga a auditarle una vez al año, pero una evaluación es continuaes una evaluación continua que se basa en si se producen incidentes, si una solución no se aplica a tiempo o si hay un riesgo que debe verificarse, pero ¿qué cosas ha observado desde el punto de vista contractual al participar en su programa? Keith Walter: Sí, es difícil mantener la cantidad de contratos, etc., y luego ayudar realmente a influir en su departamento de compras y jurídico para que realmente elaboren anexos basados en los controles necesarios, de modo que hayahaya un anexo si se trata de un contrato relacionado con la privacidad, frente a no haberlo para operaciones de ciberseguridad, etc., y mantenerlos en el anexo para que lo que puedas hacer sea decir: «Pongamos los anexos adecuados en el contrato y no perdamos tiempo legal por nuestra parte y por la suya revisando documentos que realmente no son aplicables». Obviamente, si el servicio va a cambiar, debes asegurarte de añadirlos.

Y eso es sin duda parte del riesgo que hay que gestionar, pero a veces se gasta mucho más dinero tratando de conseguir piezas y componentes cuando se mezcla todo, por lo que mantenerlo sencillo y directo, tratando de que todo funcione y colaborando con los departamentos de compras y jurídico es probablemente fundamental para el éxito a la hora de asegurarse de que se están evaluando los puntos de equilibrio de la ciberseguridad, y en Pfizer, obviamente, los responsables de privacidad son también uno de nuestros socios clave. Brenda Ferraro: Bueno, ahora estamos en la fase dos de la recolección, así que nos estamos acercando. Solo nos quedan unos 15 minutos, así que intentaremos asegurarnos de repasar las siguientes diapositivas en detalle, pero ¿cuáles son algunas de las lecciones aprendidas que tuviste que planificar y que quieres que otros sepan para asegurarse de que planifican con respecto a la recolección? Keith Walter: Sí, he hecho esta lista a la derecha y creo que he mencionado muchas de ellas a lo largo de la presentación. Asegúrense de seleccionar al proveedor adecuado y aplíquenlo. Asegúrense de estar preparados para afrontar los obstáculos que surjan. El impacto de las fusiones y adquisiciones es algo que siempre nos ha frustrado, ya quesiempre nos preguntábamos si alrededor del 10 % de nuestros proveedores a lo largo del año podrían verse afectados por una fusión o adquisición, y entonces hay que preguntarse realmente qué empresa, la que trabajaba con nosotros o la que los adquirió, es la que realmente controla el proceso, porque es a esa a la que realmente queremos evaluar, así que asegurarse de que se entiende el proceso es sin duda una lección que

No subestimes la importancia de volver a realizar un seguimiento adecuado de los hitos. Sigue recopilando los datos correctSubestimes la importancia de volver a realizar un seguimiento de los hitos adecuados. Sigue recopilando los datos correctos, piensa en los datos que necesitas a lo largo de tu ciclo de vida y obténlos por adelantado, recógelos antes de lanzarlo, porque ese es realmente el momento en el que la empresa se centra en querer lanzar el cuestionario y ponerlo en marcha. Y otra cosa es que estos son datos que necesitas planificar, asegúrate de tener una clave principal para utilizar los datos más adelante y compartirlos, y los nombres de Bender son un área peligrosa en la que estar tu clave principal. Es fundamental buscar qué más te conviene además de eso o como clave concatenada, porque los nombres de Bender cambian y entonces estás cambiando la clave principal, lo que lo hace todo muy difícil y puede resultar confuso vincular las cosas, especialmente cuandointentas hacer coincidir tus datos con los datos de adquisiciones o los datos de la oficina de privacidad, donde ni siquiera son conscientes del cambio de nombre del proveedor, pero tú sí lo eres, por lo que desarrollar claves internas, desarrollar una clave primaria interna y conseguir que tus socios clave utilicen la misma clave es otra área en la que definitivamente estamos invirtiendo tiempo para seguir resolviendo en Tourette. Brenda Ferraro: He observado que muchas empresas dicen que han solicitado que se completen las evaluaciones y que estas se pierden en un agujero negro y no saben cuándo van a recibir el contenido, por lo que es muy importante saber dónde está su solicitud. Con la plataforma predominante, hemos observado un aumento y una mejora, ya que antes se tardaba unos 45 días en tramitar la solicitud y disponer del contenido para la identificación de riesgos, y esees nuestro elemento clave en el que estamos tratando de centrarnos ahora. Ahora se devuelve en un promedio de nueve días, lo cual es fenomenal, y es reutilizable y se puede compartir, así que me alegro de que participes en ayudarnos con eso.

Ah, aquí está la clasificación de la que has estado hablando durante todo este seminario web, así que hablemos con ellos sobre lo que eso significa exactamente para la evaluación. Keith Walter: Sí, en la fase de evaluación, dado el volumen que hemos hecho y todo lo demás, creo que es realmente interesante que, estadísticamente, estamos descubriendo que, si nos fijamos en un enfoque de bandas basado en el riesgo, aproximadamente un tercio de las respuestas no fallan en ninguno de nuestros controles clave, y realmente hemos adoptado la actitud de centrar nuestra energía en la parte inferior, donde todavía tenemos alrededor del 25 % de...

De los cien que hemos evaluado, estamos descubriendo que los controles clave con ese proveedor en particular están fallando en siete o más de las preguntas sobre la postura de riesgo. La clave debe tener preguntas indicativas de control de calor, lo que sin duda es un proveedor con un problema en el paquete de control, y queremos centrarnos en eso e impulsar realmente el negocio para decir que cuando se tiene un proveedor queha sido evaluado a un nivel crítico como proveedor por las preguntas de lo que nos han indicado como metadatos sobre ese proveedor y que también falla siete o más preguntas de esos controles clave, se trata de una situación de alto riesgo, realmente de alto riesgo, y queremos asegurarnos de que es ahí donde ponemos nuestra energía, así que, de nuevo, es un poco como renunciar a algunos de esos bajos quesimplemente le diremos a la empresa: «Oigan, no he encontrado nada aquí, por favor, hablen con el proveedor de forma adecuada y con el documento de respuestas de riesgo, que les permite hacerlo de forma más eficiente y eficaz, pero definitivamente el equilibrio es suyo, ¿quiero hacer la perfección en cada uno de estos y solo voy a pasar por tantos en un año o quiero una buena evaluación y quiero conseguir a la mayoría de los proveedores de mi flota?me inclino por la segunda opción. ¿Cómo puedo secarme para tener una visión más global de mi flota? No, lo peor de lo peor es centrarse en reducir ese riesgo y, en ese momento, ya sabes, podemos cambiar el enfoque y modificar un poco los criterios y encontrar algo más, pero la respuesta es que sigo pensando que estoy eliminando la mayor parte del riesgo en el nivel de inversión que estoy haciendo y esoes realmente lo que se me pide que haga: obtener un rendimiento de esa inversión y centrarnos en reducir el riesgo con el que operamos cada día. Brenda Ferraro: Correcto, y con los requisitos normativos que ahora nos obligan a identificar el riesgo, elaboramos planes de mitigación para aquellos que aceptamos y/o tenemos controles compensatorios y luego hacemos un seguimiento de ellos hasta su cierre con esta posición, así que me gusta mucho la forma en que lo has planteado.

Normalmente utilizamos esta diapositiva en nuestras presentaciones dentro de Prevelant para mostrar el enfoque holístico de todo lo que se requiere dentro del riesgo de terceros para el programa de gobernanza amateur, así que ¿podría dedicar unos segundos a cada uno de los cuatro componentes sobre cómo Pfizer ha abordado eso? Keith Walter: Claro, mi filosofía sobre algunos de estos aspectos coincide y tiene algunas particularidades. En primer lugar, en cuanto a las puntuaciones, creo que son una buena forma de ver las cosas, son útiles en situaciones logrus, pero realmente no aportan una visión global, por lo que me inclino más por centrarme en los controles que en la mera puntuación.

Sin embargo, en casos de bajo riesgo, es una forma rápida de hacerlo, pero el modelo de puntuación de cada uno es diferente y, si el proveedor concreto que realiza la puntuación no ha hecho un buen trabajo al pensar en gran escala, en mediana escala y en todo lo demás, realmente puede resultar un poco delicado, pero es un buen indicador y debe tenerse en cuenta. Las redes, creo que son fundamentales, como lo queestamos haciendo aquí hoy: aprender de nuestros compañeros, aprender de lo que hace la gente a nuestro alrededor, participar en eventos como este... Espero que todos se lleven un par de ideas para revisar su programa a partir de lo que hemos dicho y lo que he compartido, y estoy seguro de que, a medida que siga viajando y hablando con otras personas, siempre diré que nunca tendría una reunión en la quesalga sin reflexionar sobre mí mismo, sobre lo que podría hacer mejor, o sin escuchar un comentario de la persona o empresa con la que estoy hablando y obtener de ello una reflexión sobre un aspecto que no había considerado. Y lo último de lo que realmente quería hablar era sobre los eventos. Por un momentohemos tenido un momento revelador aquí en el que realmente he encontrado valor en esto, obviamente con una breve notificación y la cantidad de proveedores que tenemos, los recibimos periódicamente y realmente tenemos un nombre

Nos engañamos a nosotros mismos con estas herramientas y la gestión de riesgos de los proveedores para engancharnos realmente cuando se nos notifica una infracción y queremos tomar medidas sobre lo que hacemos, ¿cortamos nuestros lazos, lo cual es prácticamente un procedimiento operativo estándar para cortar, ya sabes, una conexión con un socio hasta que estemos seguros de que es seguro operar juntos cuando hacemos ese tipo de cosas realmente utilizando tus herramientas y tus evaluaciones como parte de ese proceso para restablecer el negocio como de costumbre, asegurándonos de que esoforma parte de nuestras actividades y ahora estamos enganchados a ello y estamos viendo muchos beneficios realmente buenos en la respuesta a incidentes vinculada a una caja de herramientas de gestión de riesgos de terceros proveedores en lo que respecta al procedimiento de respuesta estándar. Incluso tuvimos un caso en el que pudimos compartir y predecir cómo creíamos que se había producido la violación y fue increíble lo precisos que fuimos y lo Sai con lo que estaba hablando, así quees realmente bueno tener su tipo de caja de herramientas y ver en su negocio los casos de uso para ella, y puede que no piense directamente que son apropiados, no solo la firma de contratos, sino también eventos que pueden desencadenar momentos en los que debería utilizar esta caja de herramientas y las plataformas que desarrolla para asegurarse realmente de que los proveedores que utiliza su empresa son seguros y fiables. Brenda Ferraro: Y creo que con todo lo que hay aquí es muy engorroso, hay mucho que hay que rastrear, mitigar y revisar, y aportar a nuestro programa de gobernanza, y entonces veo que lo que me gustaría que todos pudieran llevarse es: ¿puedes hablar de las conclusiones clave que has experimentado en tu trayectoria y que son importantes para contar a la comunidad? Keith Walter: Claro, hemos creado esta diapositiva internamente y en conversaciones, y estas son las cosas que creemos que nos están llevando al éxito y que realmente estamos utilizando para impulsarnos, que hemos aprendido a lo largo de los años. Sin duda, creemos que un programa basado en el riesgo es la forma de garantizar que nuestras inversiones sean rentables, asegurándonos de que utilizamos todos los datos que podemos encontrar y utilizándolos de forma creativa, como he dicho, utilizando reglas de cortafuegos que realmente establecen el nivel de riesgo.

Asegúrate de que las preguntas sean indicadores adelantados del problema, en lugar de intentar decir que voy a revisar todas las preguntas, mapeando tus controles clave esperados, tus controles de riesgo, las preguntas clave preparadas para los desafíos y las escaladas. Cuanto más puedas preparar por adelantado, mejor.voy a revisar todas las preguntas que mapean sus controles clave esperados, sus controles de riesgo, a las preguntas clave preparadas para los desafíos y las escaladas, cuanto más pueda prepararse con anticipación y, nuevamente, volveré a pensar en qué datos necesito recopilar por adelantado para poder responder y escalar de manera adecuada, es muy importante, tan simple como saber qué unidad de negocio es, entre comillas, el consumidor principal de este servicio del proveedor, lo que facilita decir: «De acuerdo, este es el vicepresidentevicepresidente al que debo escalar. La automatización del flujo de trabajo realmente ha mejorado nuestra capacidad de evaluar más con los mismos FTE. Estamos viendo una duplicación de nuestra capacidad por FTE y eso es realmente importante para nosotros a fin de escalar a los volúmenes que queremos. Yo lo hago.

Planificar el seguimiento de su disposición, asegurándose de saber realmente qué proveedores críticos desea supervisar y controlar, y en qué aspectos va a confiar que la empresa tomará las medidas adecuadas, pero asegurándose deles está enseñando la terminología empresarial para que puedan actuar de forma responsable con lo que usted ha identificado y, por supuesto, asegurándose de que sus datos a lo largo de todo el proceso, su SaaS y todo lo demás, realmente conduzcan a un conjunto de métricas e indicadores clave de rendimiento que respalden su escalada e impulsen su madurez. Averigüe dónde se atascan las cosas en su proceso, sepa cuáles son y actúe en consecuencia para evitar que vuelvan a ocurrir una y otra vez. Brenda Ferraro: Te agradezco mucho todas tus aportaciones de hoy, Keith, y ahora le cedo la palabra a Peter para que podamos escuchar si hay alguna pregunta y él tiene una encuesta final, pero, de nuevo, muchas gracias de antemano. Gracias, Brenda.

Peter Schumacher: Estoy lanzando esta última encuesta, así que básicamente le preguntamos si le gustaría continuar con Prevelant. Por favor, responda con sinceridad si le gustaría programar una llamada de seguimientocon uno de nuestros representantes de ventas, por favor, digan que sí. Si la respuesta es no, no me sentiré bien, así que por favor respondan con sinceridad. Tenemos algunas preguntas en la cola y quedan unos cinco minutos para responderlas, así que voy a pasar a la primera. La primera es: ¿cuáles son, en su opinión, las métricas clave de rendimiento que pueden extraer de sus herramientas? Y la segunda parte es: ¿qué ha sido lo más eficaz a la hora de comunicarse con la empresa y otras partes interesadas en el riesgo? Keith Walter: Claro, si quiere, no, creo que primero haré un comentario e intentaré responder. El primer comentario es que creo que cualquiera que piense que tiene sus paneles de control y métricas listos y perfectos, nunca he encontrado a un gestor de riesgos líder o algo por el estilo que realmente se sienta seguro de esa afirmación, así que es una evolución de aprendizaje, pero sin duda, en este momento, algunas de las cosas que me parecen muy valiosas son verestoy en un SLA y observar ese cronograma y, sobre todo, poder ver la progresión de la recopilación. Personalmente, me encanta llamar la atención a un proveedor que dice: «Sí, ya casi hemos terminado con el cuestionario». Yo le respondo: «Bueno, cuando solo muestras el 20 % de las preguntas que has respondido...».

¿Cómo es posible que casi hayas terminado y no haya habido avances en la última semana? Ser capaz de descubrir el engaño cuando realmente necesitas que den un paso adelante y lo conviertan en una prioridad solo se puede hacer con los KPI y las métricas adecuadas, visibles para ti, y esas son algunas de las cosas de las que estoy viendo muchos más beneficios y en las que me estoy centrando, obviamente, ese concepto de agrupación que he compartido un poco antes, esa es la tercera cosa que voy a destacar. : poder hacer saber a los altos directivos que evaluamos muchos aspectos, que aquí es donde encajan en la clasificación de riesgos según su nivel de riesgo y cuántos problemas hemos encontrado, para que vean realmente cuáles son los peores y, al sacarlo a la luz y mostrarles esos nombres y decirles que estos son los que quiero perseguir y quevoy a hacer un seguimiento del cierre, les ayuda a comprender realmente que estamos centrados y que no somos puristas que intentan resolver el hambre en el mundo, sino que realmente utilizamos los datos para impulsar sus valiosos recursos en su propia organización, así como en la mía, para asegurarnos de que estamos

el mejor rendimiento posible de esa valiosa inversión para reducir el riesgo general Peter Schumacher: muy bien, gracias Keith, parece que quedan un par de preguntas más y las abordaremos, pero creo que nuestra encuesta va por buen camino: el 56 % . Entiendo que si se han conectado a través del navegador web, es posible que no puedan participar en la encuesta, por lo que esa puede ser la razón de nuestra baja participación, solo a título informativo. La siguiente pregunta parece estar más dirigida a Brenda, así que ¿cuál es la tendencia en la puntuación y la clasificación de riesgos y cómo ayuda el enfoque de Cisors a identificar la postura de tolerancia al riesgo? Brenda Ferraro: Sí, hemos hablado

Sí, ya hemos hablado un poco sobre esto anteriormente, pero en lo que respecta a la restauración, hay que ser muy meticuloso al analizar cada compromiso por separado, y en la plataforma predominante tenemos la capacidad de ayudar a Pfizer a configurar qué tipo de compromiso requiere qué tipo de diligencia debida, lo que luego se corresponde con su tolerancia al riesgo en los controles clave que han seleccionado para esos compromisos, y luego podemos ayudarles a determinar, a partir de los requisitos normativos y las perspectivas, cómo se corresponde esono encaja o cómo se corresponde con la ISO o con sus controles clave con solo pulsar un botón de filtro, por lo que es realmente emocionante ver cómo han preestablecido y preparado todo su contenido para su configuración adecuada con el fin de examinar la puntuación y la clasificación y, a continuación, evaluar continuamente en función de las puntuaciones de riesgo que pueden obtener dentro de la solución, de modo que así es como la solución prevalente está ayudando a Pfizer en la actualidad. Keith Walter: Sí, y una cosa más: uno de nuestros requisitos fundamentales era que el modelo de puntuación tuviera cierta configurabilidad para poder seleccionar la solución, ya que consideramos que es fundamental poder ajustar el sistema para que realmente beneficie a nuestro negocio y nuestras actividades, y sin duda la plataforma que ofrece Prevalent me permite ajustar la metodología de puntuación con facilidad NRI y realmente sacar partido a mi control clave.

Las preguntas indican que lo más importante son los mejores puntuadores, y eso ha sido muy valioso para que los informes que genera el sistema se centren realmente en lo que yo quiero que se centren para ayudar a mi negocio . Peter Schumacher: Muchas gracias. Creo que tenemos tiempo para una última pregunta. He estado respondiendo a la mayoría de las preguntas utilizando mi experiencia en marketing. He estado respondiendo a la mayoría de las preguntas técnicas por ti, Keith, pero me queda una: ¿tienes alguna recomendación sobre cómo manejar el Cu EC tal y como aparece en el informe? Puedes responderla fuera de línea si lo prefieres , Keith. Walter: Sí, quiero decir que no hay que informar.

Es bastante detallado, pero la respuesta que daré es que se trata de un método de evaluación alternativo que, en algunos casos, puede hacer que no sea necesario realizar un cuestionario completo, dependiendo del riesgo. Lo que me preocupa de cualquier parte del método es tener mucho cuidado de comprender bien los metadatos desde el principio y estar preparado para comprender el compromiso que se está adquiriendo, así como asegurarse de que el alcance de la evaluación real coincide con lo que se tenía previsto hacer. Tener esto en cuenta a la hora de tomar ese tipo de decisiones que se piden es, en mi opinión, absolutamente fundamental para el éxito si se va a utilizar un método alternativo como esas secciones específicas, etc., y los servicios finales del SOCK. – Brenda Ferraro: exactamente lo que iba a decir. Gracias, Keith, sí.

Peter Schumacher: Muy bien, gracias a todos por acompañarnos hoy. Keith, quiero darte las gracias especialmente, te agradezco mucho que hayas hecho la presentación de hoy. Brenda, espero que todos tengan un buen fin de semana y nos vemos en el próximo seminario web. Gracias, gracias.