Los 10 errores más comunes del programa de gestión de riesgos de terceros

Amy Tweed: Muy bien, bienvenidos todos. Veo que algunas personas están empezando a entrar lentamente. Mientras se instalan y se ponen cómodos, voy a lanzar una pregunta rápida porque tenemos mucha curiosidad por saber qué les ha traído hoy aquí a nuestro seminario web, los 10 errores más comunes de los programas de riesgos de terceros, o perdón, de los programas de gestión de terceros. Mi nombre es Amy Tweed. Estoy aquí como um una persona para ayudar a retransmitir preguntas y mantener todo funcionando sin problemas. Um, usted ve las preguntas de la encuesta aquí como usted se está instalando. Tenemos, ya sabes, ¿qué te impulsó a unirte? ¿Es educativo? Usted podría aprender mucho hoy. Este es un tema muy caliente y sé que estoy emocionado de aprender mucho. Uh, tal vez usted tiene un próximo proyecto de gestión de riesgos de terceros y tienes curiosidad acerca de lo que debe evitar. Este es un muy buen seminario web para estar en. Tal vez usted no tiene idea de por qué estás aquí. Um, pero quizás te quedes. Puede que aprendas algo. Um, y entonces tal vez usted es cliente frecuente, que es grande también. Por lo tanto, usted está aprendiendo cómo utilizar nuestra plataforma y servicios. um en toda su extensión. Muy bien, así que algunas cosas de limpieza a medida que empezamos antes de brillar el centro de atención en nuestro uh webinar anfitrión de hoy. Uh esto está siendo grabado, así que si usted necesita hacer estallar fuera de lo que sea, esto será enviado a su bandeja de entrada a primera hora de la mañana de mañana, así que usted puede comprobar a cabo en su propio tiempo. Um también, queremos mantener este super interactivo. Así que tenemos la función de preguntas y respuestas en la parte inferior de la pantalla. También tenemos la función de chat, así que si cualquier pregunta que surgen como Alastair y Joe um están pasando con este seminario web, por favor enviarlos a nuestra manera. Realmente queremos ayudar. Así que, por favor, que sea interactivo. Y sin más preámbulos, no estás aquí para escucharme. Por lo tanto, voy a pasar a Alastair Parr y Joe Tolley. Así, Alastair Parr es el propio vicepresidente senior de productos globales y riesgo de Prevalent. Y también nos acompaña hoy Joe Tolley, otro miembro del equipo de Prevalent que ha trabajado con cientos de clientes de gestión de riesgos de terceros para ayudarles a establecer sus programas. Así que les cedo la palabra. Espero que ambos estén bien hoy. Muchas gracias. Y hola. Y hola Joe. ¿Puedes oírme? Sí,

Joe Tolley: sí se puede. Hola a todos.

Alastair Parr: Lovely. So, uh, between myself and Joe today, we’re going to give you a bit of insight into the key challenges and issues that we’ve seen from really assessing and managing hundreds of third party programs over the years and invariably we tend to see the same mistakes and issues and and fundamentally the challenges whenever we start engaging with uh respective customers and clients around the third party program. So, between the pair of us Uh beyond our general experience of having the oversight of third party programs, we’ve also got backgrounds in data loss prevention respectively uh firewall and and incident management uh as well as operations and delivery both for information security programs as well as of course third party risk specifically. That’s enough about us. Without further ado, uh just to set the scene slightly, we’re just going to give you a little bit of insight into really fundamentally what’s involved in a third party program. And as I’m sure many of you already know, but for those who don’t, just to reinforce, and this is really where all of the key issues that we find stem from, uh there’s there’s a series of activities and actions that formulate a third party program. And starting at the top, what we typically see is that people start off with understanding, well, what are we actually trying to achieve? What what’s the maturity of a third party program? Uh based on what we want to achieve, how are we going to track and react to that? So, what are the KPIs, KISS that we react to? Then they define the scope. So, well, we know what we want to do. What do we to do it against and they outline the third parties and then they define what they want to assess them against. So how deep do we go? How broad do we go? Are we using assessments? Are we using monitoring etc. From there they tend to start doing assessments capturing data whatever it needs to be and then standardize and review that data set. Uh they obviously have to involve the business third parties in that process etc before finally actually doing something with the data and then funament ly repeating that process time and time again. Now, we’ll touch on some of the key issues and challenges that we see across the gamut of everything you see in front of you now, but something we’ve learned over time is it’s very very similar to how we deal with datos prevention programs, which is there is a sea of information that you need to troll through and get through and assess. And once you’ve got that data, people get paralyzed with what on earth do I do with it? How can I make it actionable and interactive as a as a human being? And we’ll touch on some of that shortly. So, Firstly, as the primary starting point when we look at a third party program, people start with governance, reporting and business involvement. So they’re understanding from that prior slide, what are we looking at? What’s our definitions of maturity going to be defining our KIS etc. It’s really that initial starting point which is capturing requirements and understanding uh the contributing factors and metrics that drive our program. And when you think about that, the very first challenge that we often see and the top issues is really down to the community. ations and responsibilities process that you see from the outset. So we’ve always and consistently seeing that a third party program as you expect is it’s a team effort. It’s a team not just in the sense of the third party risk team but uh it’s a team effort between legal procurement infosc compliance audit etc. All working together and the business all working together to prop up this this concept of a third party risk program. And too often we’re seeing people working in isolation. Vested teams have established processes the business users disin interested etc. and they’re not working in collaboration. Tied to that is well how do we actually get people to work together? They’re not defining the roles and responsibilities on interactions. People are intrepid about engaging the business in any sort of meaningful way. Uh and they don’t want to disrupt existing patterns and processes that might be in place. That could be in a specific business area that could be related to how the business operates themselves but fundamentally they’re they’re scared of change in that situation. Now hopefully For those of you on the call that have a program, that is you there at the front spearheading this uh this functional and collaborative third party program. But more often than not, we uh we do tend to see people um unfortunately with a slightly less polished approach, should we say, to third party risk management. So what can we actually do to prepare? How do we address these issues? First and foremost, what we normally recommend is start looking at the life cycle of life cycle of third party risk management. So we want to understand what what Where does it start from? Well, we have sourcing, RFP, RFX processes up front that define who a third party is. That goes through various systems through contracts and procurement. Uh, and then goes through an intake process to be on boarded. Uh, that of course then follows through to the third party program eventually who can then prioritize, tier, classify, and then drive risk remediation downstream. And the big issue we tend to see here is that far too often people are focusing on this tail end of this endeavor and they’re working in that isolated pocket. So, we’re always strongly recommending now to address this. Make sure you engage with everybody who’s involved in these upfront processes and make sure they’re capturing the right data from the outset. Next, what else do we recommend and what do we typically see is that well, we recommend you understand the criteria. So, tied to roles and responsibilities, we would really strongly recommend that you know in your program what are the business functions that are supporting it. Uh what visibility you need in order to drive that program. How will we get engaged with audit for improvements and also ownership most importantly at the bottom left there? How do we get ownership from the business and the various vested parties to drive that third party piece and that lends itself to thinking about who are the various participants in this program and I’ve alluded to it already but the fact is there are multiple parties involved procurement legal risk operations and audit and they all play a meaningful part in that process. The best third party programs we’ve seen have got all of those parties involved, interested, and collaborative and communicative in how they want to engage this. As much as they might have their own piece and objective as if they’re able to work together and see the fact that each relevant party has some contributing factor and need uh then it works out best. And we see that function quite well with things like uh operations and governance committees that can meet on a monthly basis, steering committees uh that would drive that third party program with representatives from all of these so that people can support one another. So the information collection mechanisms used can support obviously the risk assessment components help operations with looking at supply chain downstream looking at SLA and performance management and so on. So everybody can get some some value out of the program and should be working together. So moving on to uh specifically roles and responsibilities Joe is there any particular uh challenges or issues or good practice you want to share?

Joe Tolley: Sí. Claro, Alastair. Muchas gracias. Um, una de las cosas más comunes que se podría pensar que es bastante um base para la construcción de un programa es la falta de tener o crear un manual de operaciones al día para apoyar el programa. Por lo tanto, este sería el manual de los procesos clave, las funciones clave y las responsabilidades y deberes para llevar a cabo el programa. Lo que solemos encontrar es que, o bien no existe un manual de operaciones, o bien es algo que se diseñó el primer día y no se mantiene con el paso del tiempo. Así que es una verdadera recomendación tener una decisión consciente o un punto de control sobre una base regular para crear un manual de operaciones. Asegurarse de que hay propietarios de cada uno de esos elementos que crean o componen un manual de operaciones para que podamos asegurarnos de que está actualizado a lo largo del tiempo. No sólo servirá como guía de referencia para el desarrollo del programa en el futuro, sino que también servirá como manual de instrucciones o guía de procesos para cualquier persona que se inicie en el programa.

Alastair Parr: Encantador. Gracias Jay. Joe Tolley: Sin problemas. Alastair Parr: Así que uh sólo para reiterar los puntos sobre eso. Así que estamos fundamentalmente buscando trabajar en colaboración. No queremos que la gente trabaje de forma aislada y esos equipos comprometidos y esfuerzos de colaboración son realmente clave para abordar algunos de esos retos comunes que estamos viendo allí. Lo siguiente en nuestro viaje a través del ciclo de vida de terceros son los KPI y KRIS del programa. Se trata de los indicadores de rendimiento que esperamos ver en las mediciones de un programa de éxito, sea cual sea. Y esta es una desafortunada. En realidad, a pesar de ser un área tan importante, a menudo se pasa por alto cuando analizamos programas de terceros. La gente está tan obsesionada y obsesionada con si podemos hacer evaluaciones, si podemos permitir la supervisión... Y teniendo en cuenta la escala de lo que están viendo, no tienen en cuenta la profundidad y el contexto de la información que están capturando. Y eso es bastante natural como ser humano cuando empiezas a mirar, ya sabes, números de miles, decenas de miles, etc., porque es muy difícil empezar a procesar ese tipo de volumen de datos. Así que lo que estamos viendo allí es que la gente está utilizando los volúmenes y diciendo levantar una bandera y dijo: "Oh, he llevado a cabo 5.000 evaluaciones de este año. He habilitado el monitoreo en 40,000 vendedores, etc." Y eso suena brillante de forma aislada, pero cuando te das cuenta de que tienes 150.000 proveedores en tu patrimonio, en realidad no es tan genial. Así que están utilizando el valor de la cobertura como factor de éxito. Desempeña un papel, pero hay un montón de factores que contribuyen más allá de eso. uh estamos viendo un montón de gente no asociar los resultados y objetivos a los recursos disponibles. Se trata de hacer que el programa sea factible. Así que si sólo estuviéramos el pobre Joe y yo sentados allí conduciendo un programa de terceros por 150.000, probablemente no voy a tener mucho éxito y tengo que moderar mis expectativas de mis compañeros, la comunidad, el negocio para reflejar eso. Así que la gente a menudo muerde más de lo que puede masticar. Uh siguiente, demasiados están fallando en planificar la tolerancia al riesgo por adelantado. Así que para gestionar algo de eso no están considerando Bueno, ¿cuál es el apetito de riesgo proporcional que somos capaces de aceptar sobre la base de nuestra capacidad con el fin de conducir el riesgo? No puedo decir simplemente que cada problema que encuentro debe ser arreglado porque es insostenible. Y por último, y esto es muy prolífico por desgracia, pero demasiados sobreestiman la voluntad de terceros para contribuir. Ahora, si usted está activando el monitoreo pasivo, por ejemplo, entonces eso es genial. Es un indicador. Es una buena información. Pero, para llegar a lo más profundo de la tercera parte, necesitas comprometerlos, llevar a cabo evaluaciones y demás. E invariablemente, bueno, generalmente invariablemente, ellos no son particularmente receptivos en darte información una vez que tienen tu dinero. Así que, si nos fijamos en estos objetivos engañosos y poco realistas, es muy fácil ver el panorama a primera vista y suponer que todo es un caos y que no hay coordinación ni gestión. Pero eso está generalmente controlado por los confines del programa que has creado. Así que si tienes una colina de 45 grados y estás rodando queso y corriendo hacia abajo, entonces vas a esperar un poco de caos. Si has establecido un buen conjunto de parámetros para ti, te va a ir mucho mejor. Entonces, ¿cuáles son los factores que queremos considerar para demostrar un buen progreso? En primer lugar, es uh evaluaciones de madurez específicamente. Joe, esperaba que pudieras darme una idea de lo que esperas ver en una buena evaluación de madurez.

Joe Tolley: Claro. Somos un gran fan de las evaluaciones de madurez. Encontramos que las organizaciones no las llevan a cabo lo suficiente. Recomendamos que se realicen trimestralmente y que sirvan como una oportunidad formal para dar un paso atrás en el programa, observar los componentes clave que conforman un programa y ayudarlo a desarrollarse y evaluar cómo está cada una de estas áreas. El enfoque que utilizamos aprovecha el modelo de madurez de la capacidad y lo que realmente hacemos es identificar cuáles son los aspectos clave y luego evaluar cada uno de esos componentes de forma muy detallada con los equipos que realmente ejecutan o gestionan cada uno de esos componentes. Así, por ejemplo, lo que cabría esperar es ver la cobertura o el alcance del programa de terceros. ¿Cuántos terceros se evalúan realmente? ¿Qué aspecto tienen las lagunas? Uh, a continuación, pasar a cosas como el contenido que se está aprovechando. Ya sabes, ¿es algo que se basa en un estándar de la industria? ¿Es de calidad suficiente? ¿Captura los datos que necesita? Y luego profundizar en el aspecto operativo. Examinar las funciones y responsabilidades, el manual de operaciones al que me he referido hace un momento, las medidas correctivas y, por supuesto, las métricas que apoyan el programa. Por lo tanto, si usted planea hacer este ejercicio trimestral, va a uh asegurar que usted está manteniendo un registro de donde estas debilidades son, así como las cosas que estás haciendo bien. Uh y luego, por supuesto, vas a asociar alguna responsabilidad para desarrollar realmente esas áreas clave. Lo realmente valioso también de hacer este tipo de ejercicio, si usted tiene algún tipo de métrica como resultado de una evaluación de la madurez, como se puede ver allí con el enfoque de los cinco pilares. Puede ayudar a identificar los puntos débiles. Ver, por supuesto, dónde están las deficiencias más importantes que has uh que has ganado de ese ejercicio, pero también puede demostrar algunos de los éxitos que está teniendo trimestre a trimestre también. Si implementas o tienes un esfuerzo consciente y un proyecto para mejorar ciertas áreas, a menudo es bueno ser capaz de demostrar a la empresa que, ya sabes, el recurso que has asociado para mejorar el contenido, ya sabes, está teniendo un impacto positivo en el programa. Y eso se puede demostrar viendo que la puntuación de madurez aumenta con el tiempo.

Alastair Parr: Gracias, Joe. También hemos recibido una pregunta. Me pregunto si podrías responderla: ¿quién estaría en mejor posición para realizar la evaluación de madurez dentro de la empresa? Joe Tolley: Sí, muy buena pregunta. Um, normalmente lo que nos gusta ver es un programa de plomo, por lo que alguien es realmente responsable de la gestión de la um general, la rendición de cuentas del programa. Pero a menudo no, en realidad no tienen conocimiento de todas estas áreas individualmente, por lo que es importante asociar los representantes adecuados a los tipos adecuados de aspectos que está evaluando dentro de la evaluación. Por ejemplo, si alguien es responsable del contenido y tiene la responsabilidad de examinar las preguntas que se envían trimestralmente, obviamente es la persona más indicada para examinarlas con más detalle. Así que aunque tengas a alguien que sea responsable general del programa, creemos que debe haber un comité en particular que sea responsable de responder a esto de la forma más precisa. Alastair Parr: Ok, Gracias Joe, y sólo para secundar ese punto, si no tiene los recursos relevantes, háganoslo saber, ofrecemos evaluaciones de madurez gratuitas para usted, así que más allá de la evaluación de madurez, sobre la base de que ha hecho esa evaluación de madurez para entender bien lo que realmente está tratando de lograr a través de estos diversos pilares de cobertura de contenido, roles y responsabilidades. Por ejemplo, los mecanismos comunes que tendemos a considerar y que no se pueden considerar de forma aislada si estamos analizando los flujos de trabajo de evaluación, por ejemplo, empezando por la derecha, el porcentaje de cobertura de la propiedad de terceros,000 de 150.000 5.000 suena muy bien, pero como un porcentaje puedo ver que en realidad no es tan uh tan apetecible como yo podría haber esperado las tasas de respuesta de evaluación por lo que si estoy haciendo evaluaciones o si estoy permitiendo el seguimiento de qué tipo de éxito estoy recibiendo en realidad por lo que x% se han uh logrado, tengo respuestas para etc. Es una métrica importante porque ayuda a comprender lo que funciona y lo que no. Uno de los problemas comunes que estamos viendo es que la gente está asumiendo ciegamente que su uh el proceso que construyeron en el primer día es eficaz cuando la realidad es que necesitan para afinar y ajustar su metodología con el fin de obtener las empresas para responder, los terceros para responder y así sucesivamente. Y luego pasamos a la gestión de riesgos. Así que el riesgo o los objetivos de reducción mes. ¿Qué es lo que realmente queremos reducir los valores de riesgo? ¿Qué es bueno para nosotros y luego lo que realmente se ha gestionado a un nivel aceptable. Así que hablo de tolerancias de riesgo, umbrales de riesgo. Una cosa común que no vemos es gente poniendo una línea realmente definitiva en la arena y diciendo que aceptamos el riesgo por debajo de este valor. Para aquellos de ustedes en las llamadas que son profesionales de la gestión de riesgos, saben que el riesgo es absoluto. Siempre va a haber un riesgo por ahí o alguna descripción y no se puede mitigar absolutamente todo. Así que con eso en mente debe haber una declaración definitiva de la empresa para decir lo que es una cantidad tolerable de riesgo e igualmente para que pueda definir cosas como los controles clave y las cosas que son absolutamente inaceptables. Así que las cosas en las que realmente querrías centrarte como dominios de riesgo. Así que estas métricas, por supuesto, deben apoyar sus KPI de bajo nivel. También establecen las expectativas de la dirección sobre lo que debería ser bueno. Son buenas mediciones y puntos de seguimiento para sus programas.

Alastair Parr: Pero Joe, me pregunto si podrías iluminarme. ¿Cómo se plasma esto en un proceso, un buen proceso de terceros? Joe Tolley: Sí. Problema. Tenemos este diagrama del ciclo de vida que puedes ver a la derecha. Um el principal beneficio de presentar información como esa es que vemos los programas de terceros como algo que necesita ser revisado a menudo. Um las cosas necesitan ser mejoradas y optimizadas con el tiempo. Uh y como he dicho antes, esto es algo que es un foro común de caída de una gran cantidad de organizaciones. Tienen algo en su lugar desde el primer día. Uh no entonces establecer estas sesiones de revisión en o o formas de realmente mejorar y revisar um lo que están haciendo para apoyar el programa. Así que se trata de mirar ese ciclo de vida y asegurarse de que hay decisiones conscientes para mejorar las cosas con el tiempo. Como dijo Alastair sobre el alcance, si estás evaluando un 5% de tu patrimonio de terceros el primer día, los procesos para apoyarlo pueden ser bastante básicos. Tienes suficientes recursos para gestionarlos. A medida que empieces a ampliar ese alcance con el tiempo, es cuando tienes que empezar a revisar algunos de estos procesos y ver cómo puedes mejorarlos para asegurarte de que puedes atender el alcance adicional o los cambios en el alcance con el tiempo.

Alastair Parr: Gracias, Joe. Y para los más avispados, habréis notado que Joe es director de programa, no de proyecto, precisamente porque tiene que ser un ciclo iterativo y repetible. No es un ejercicio puntual cuando empiezas a buscar un programa de terceros. Así que te darás cuenta de que constantemente hablamos de programas de terceros como la gente suele hacer en el espacio. por esa misma razón. Este es un ciclo de vida que necesita ser podado, ajustado, modificado con el tiempo para convertirse en algo que uh es mejorado. Así que a continuación en nuestro viaje, vamos a empezar a ver que hemos definido nuestros KPIs, KISS, hemos establecido las líneas de base del programa y las métricas y ahora vamos a ver en realidad mirando a nuestro patrimonio de terceros y el alcance y la priorización de la misma. Y cuando empezamos a ver que realmente se convierte en un problema de escala que estamos tratando de abordar y vemos el problema común aquí con la escala que es que demasiadas personas no tienen suficientes datos significativos. Ahora bien, esto no es necesariamente culpa suya, sino que está ligado a malos procesos de negocio, técnicamente malos, a lo largo del tiempo. Así que puede que no tengan la información del proceso de incorporación que les permita saber qué datos están disponibles. ¿Así que simplemente tenemos el gasto de los terceros? ¿Sabemos lo que están haciendo? ¿Sabemos quién es el propietario de la empresa? etc. Y los datos están ahí para poder tomar esas decisiones significativas. Ahora bien, se puede intentar arreglar esto de forma retroactiva, pero es una tarea enorme cuando se empieza a analizar programas de terceros a gran escala y la gente tiende a no tener en cuenta el contexto empresarial. Así que toman decisiones basadas en cosas como cuál es el gasto total y cuál es el servicio básico que proporcionan. No se plantean realmente qué están haciendo realmente por nosotros como terceros. ¿Qué línea de negocio o servicio están apoyando realmente? Y, por último, demasiados están mordiendo más de lo que pueden masticar. Y lo que queremos decir con esto es que van a entrar con optimismo en ese proceso de priorización y perfilado y decir Típicamente, digamos que tomamos un modelo de nivel uno a tres, el nivel uno es el más crítico, el nivel tres es el menos crítico, van a aorcionar las cosas en consecuencia. Podrían intentar aplicar una regla 80/20 para que el nivel uno sea el 20%. Pero no se tiene en cuenta la proporcionalidad. Si sólo somos Joe y yo los que dirigimos el programa, probablemente será poco realista para los volúmenes. El hecho es que o bien tenemos que moderar la priorización para reflejar los recursos de la empresa o, alternativamente, tenemos que gritar y gritar para conseguir recursos adicionales, sea lo que sea, para que podamos cumplir las metas y objetivos de la empresa. Así que algo que hacemos y vemos a menudo es que la gente dedica tiempo a hacer un cálculo de los recursos para entender, basándose en los recursos que tienen y en el personal, las tecnologías, etc., qué pueden procesar y lograr de forma realista y que eso alimente sus metodologías de priorización y tarificación. Enfrentarse a este problema de escala supone, obviamente, preguntarse cómo podemos hacerlo realmente como seres humanos. Es bastante problemático. No estamos diseñados para procesar la escala. Uh, pero hay un par de maneras que vemos para ayudar y hacer frente a esto. Y uno de los primeros puntos que normalmente considerar es así, lo que es en realidad en el ámbito de aplicación? ¿Qué es un tercero? Y es una pregunta fundamental que a uno le gustaría pensar que la gente se ha hecho desde el principio, pero en realidad, a menudo vemos que la gente va con una noción preconcebida de lo que es un tercero cuando entran en sus programas. Pero cuando se analiza qué es un tercero, el término tercero es más amplio que el de proveedor. Es un término más amplio que el de proveedor, e intencionadamente, porque un tercero es realmente cualquier cosa que pueda apoyar a la empresa. Podrían ser contratistas, proveedores de servicios, sistemas y activos que están ayudando. Uh y luego igualmente las personas que tienen acceso a su sitio que podría ser indirectamente vinculado a un tercero como un cuarto partido, por ejemplo. Así que cuando usted realmente entiende lo que tiene en el ámbito de aplicación uh entonces es donde se convierte en una situación de cómo en la tierra que priorizar. Joe, ¿cómo ves a la gente considerando estos diferentes factores en la priorización?

Joe Tolley: Sí, claro. Creo que lo primero que hay que poner en marcha y mejorar en la mayoría de las organizaciones es el proceso de incorporación. Así que no muchas organizaciones tienen la información correcta recopilada por adelantado sobre un servicio que se está prestando para que puedan identificar el impacto que un tercero podría tener en el negocio. Así que mirando a cosas como el servicio que se presta, obviamente, va a ser grande para ser capaz de clasificar e incluso informar sobre esa información. Um, pero también evaluar qué tipo de impacto habría si ese tercero fallara en el rendimiento o la prestación del servicio. ¿Una unidad de negocio dejaría de funcionar? ¿Se caerían los sistemas? Por lo tanto, hacer ese tipo de preguntas sobre cuál es el verdadero impacto de un tercero para el negocio va a ser muy útil para priorizar quién debe obtener las evaluaciones en primer lugar, qué tipo de evaluaciones, y qué tipo de contenido debe ser incluido en eso también. Así que, um que es, obviamente, brillante asegurarse de que uh por adelantado en el proceso de embarque se mejora. Así que, eso es definitivamente una deficiencia común. allí. Um, también asegurarse de que uh los sistemas que tiene en su lugar que ya tienen información recopilada son realmente miró a identificar lo que puede aprovechar ahora para apoyar el programa. Así que si usted no ha tenido todo el beneficio histórico de tener una aptitud para el propósito en el proceso de embarque, puede haber maneras en que usted puede aprovechar la información que ya existe para ser capaz de identificar y formar alguna forma de uh priorización de sus terceros para la evaluación. Así que esto es algo que comúnmente uh no se considera un ejercicio que es um que vale la pena hacer porque hay un poco de puro volumen en hacer ese tipo de actividad. Pero podría haber información aprovechada de equipos como el sistema de adquisiciones del equipo de adquisiciones. Podría haber información de anteriores compromisos GDPR o terceros conocidos que um que requieren el cumplimiento de PCI, por ejemplo. Y todo esto puede resaltar fácilmente la información que está disponible para ayudar a identificar un método de priorización de proveedores o terceros como usted como usted para ellos en el programa.

Alastair Parr: Thank you very much, Joe. Now, we actually had a question come in which uh which ties into uh our next point, which is how should organizations consider beyond tier one of the supply chain for TPRM? Uh and it’s a very good question and quite often we tend to see success being in a as you expect a sort of a pyramid-esque model here. Um what we typically see and what we are recommending people do is that they start um aortioning the right quantity of effort that they can against uh the right third parties. So you can see here is a generic example. We’ve got say 15,000 vendors in our estate. Uh ap sorry 15,000 vendors in our estate that we want to try and manage of which say 4,000 are going to be subject to continuous monitoring because they’re prioritized. 2 and a half thousand would therefore get some form of risk remediation or assessments based on that. Uh 1500 assessments are distributed. 300 contextual assessments are done which is of an in-depth review of the assessment results. results uh 100 of those might be subject to additional validation exercises and then of those 20 might require on-site audits. So when you actually look at that in the entirety of it, you’ve created multiple tiing. So yes, you do have a tier one, tier two, tier three model where you might say assess the tier 3s on a every two three year basis. You might just use continuous monitoring against them etc. But the reality is you really need to start breaking down the tier ones as well to consider the level of effort you want to invest against each of those tier ones. So, some of those might need an on-site or remote audit. Some of them might need some contextual information shared with the business, for example. Uh, and that may extend beyond the tier ones as well. Now, tied to that question. So, if we’re actually looking at the tier 2s and the tier 3es, we appreciate that we might not do very much of them. We may just repeat this process on a slightly less frequent cadence. It’s all going to be tied again to the business resource. If if you’ve only got a small number of people to actually manage your third party estate, you may really never be able to do more or anything than tick a box or or try and do some very lightweight assessments against those third parties or be quite reactive in in how you’re engaging with them. But the best chance you’ve got is enforcing as part of the renewal process capturing information on that third party so you can make an effective decision about which tier they’re in and therefore what amount of effort you’re going to associate to those. So it can be an iterative process to start feeding them into this this broader life cycle and workflow. So onwards to assessment design and distribution. So we’ve tiered, we’ve profiled, we know who we want to engage with etc. And obviously a core foundational component of a third party program is assessments and continuous monitoring associated to that. And when we look at the the the noise that we see associated to a to a third party estate and managing them, we see some very common themes and issues. So firstly, we’re seeing that too many lack regular consistent assessment formats. Now this is simply a case that it may be while not a one-sizefits-all approach for assessments. You at least want to be consistent in the fragmented question sets that you’re asking them. So, you should always be asking about certain key controls. Uh certain domains might be only relevant for certain services, but you want to be consistent in how you structure those domains and capture the information. And those domains are beyond assessments. We’re talking about cyber monitoring, business monitoring, financial monitoring, ESG, etc. Uh too many of them are actually failing to consider the communication mechanisms, which is well, how do we actually engage with these third parties in a way that’s effective and at scale. Quite often they’re relying on an initial interaction and then realizing that 50% of the estate isn’t actually responding back. So they don’t know how to actually talk to the business uh their own business as much as the third parties. And then too many fail to ask contextual questions across a full profile. And what we mean by that is people are sending out say SIGs, HISAC assessments, PCs, their own proprietary assessments, whatever it may be. But what they’re not doing is actually asking the the the questions you’d expect. up front. So, we’d want to understand who are they, what are they doing, what do they need to do that, how are they doing it, etc. The information that helps feed and drive our decision-m process and also too many of them are simply failing to engage the business. Now, this is probably the most prolific issue we see when it comes to the assessment methodology, which is we are driving a third party program because these third parties are providing a service to the business. It’s not just Joe and I who are getting value out of these third parties. We’re not doing it for fun. Uh we’re doing it because the business has a need to do so and they’re essentially functioning as our customers in a third party program. So we need to engage with them, communicate with them and share the information around what a third party is doing and where necessary getting their involvement and buyin. So these are the stakeholders, the project sponsors, these are the uh relationship managers, the third party etc. They should be as part of that assessment process as possible. So we look at that sort of consistency and engagement. There also needs to be some form of structure. It can’t be some lovely freeforall for that sort of third party process or third party party. We need to make sure that we have consistency in that approach. So Joe, I was hoping you can give me a bit of insight into what you’re seeing as good practice and what some of the pitfalls and traps are related to uh way to to the assessment methodology of a third party program.

Joe Tolley: Sí, claro. En los últimos años, hemos visto muchas formas extrañas y maravillosas de evaluar a terceros con diferentes cuestionarios. Um, yo diría que es probablemente el más um la caída más común es una forma ineficiente de captura de datos para ser capaz de identificar el riesgo y trabajar con el riesgo de manera eficiente. Tener un conjunto de preguntas que uh es usted sabe respuestas de texto de forma libre, por ejemplo. Sólo significa que hay más tiempo dedicado a la interpretación de los datos que regresan. Tan pronto como te dejas abierto a cuestionarios de forma libre um, así como ser capaz de identificar, así como dificultar la identificación del riesgo, cosas como la puntuación del riesgo también se vuelven inconsistentes. Diferentes representantes analizan las respuestas de formas distintas. Esto hace que sea muy difícil producir un registro de riesgos preciso, estandarizado y coherente que la empresa pueda utilizar. Y, por supuesto, también hace que los informes sean incoherentes. Así que ordenar el contenido del cuestionario hasta un punto en el que sea algo repetible, algo tan binario como sea posible para poder capturar campos estandarizados, por ejemplo, a los que puedas asociar ponderaciones de riesgo y puntuaciones. que, por supuesto, es probablemente la más común, pero la que obtiene el mejor valor para el negocio. Una vez definidos los riesgos y la ponderación de los mismos, se convierte en un ejercicio estandarizado que también se puede llevar a cabo en la empresa. Ya sabes, mirar los riesgos, mirar las puntuaciones e identificar lo que es aceptable dentro de la empresa desde el punto de vista de la remediación y lo que sucede a continuación si alguien realmente genera un riesgo de una determinada puntuación. Así que sin duda asegurarse de que el enfoque de contenido es tan eficiente como sea posible. Va a ser una inversión de tiempo por adelantado para hacer esto tan detallado como tiene que ser um y tan binario como tiene que ser, pero, obviamente, usted está allanando el camino para una eficiente usted sabe futuro con la gestión de ese contenido y las respuestas que recibe de vuelta también.

Alastair Parr: Gracias Joe y totalmente de acuerdo en que el trabajo por adelantado que la preparación que la planificación del partido uh hace toda la diferencia en lo que sucede posteriormente. Así que para dar algunos ejemplos de lo que estamos viendo en eso por lo que tipo de tipos de contenido que realmente queremos empezar a ser que estamos viendo más regularmente ahora y por lo general un programa de terceros como he mencionado es implica múltiples partes y estamos viendo consideraciones en torno a la seguridad de la información por lo que, por supuesto, los controles clave dominios clave, etc continuidad del negocio recuperación de desastres resiliencia en particular en los últimos 18 meses curiosamente uh las obligaciones reglamentarias a traer en el cumplimiento y la auditoría y legal y la comprensión bien ¿cómo realmente empezar a factorizar en cosas como uh usted sabe regs California GDPR uh nuestro propio reg uh verticalbased reglamentos teniendo en cuenta los datos traste. Así que estamos viendo más y más gente ahora teniendo en cuenta cosas tales como así escaneos de vulnerabilidad pasiva, por supuesto, los resultados de pentests y la exposición a los resúmenes ejecutivos de pentest que se ha convertido en mucho más prominente ahora en lugar de simplemente confiar en un calcetín 2 informe o una ISO 27.0001 uh declaración de aplicabilidad la gente quiere conseguir un poco de validación en contra de eso y luego la idoneidad de componentes tales como ESG estabilidad financiera ética controles de calidad sostenibilidad que parece ser cada vez más dominante en realidad en algunos de los programas de terceros que vemos. Históricamente nos hemos centrado mucho en el extremo izquierdo y lo que estamos viendo es que a medida que pasa el tiempo la gente está evolucionando para empezar a tener en cuenta criterios de amenaza adicionales y la idoneidad en sus programas. Afortunadamente, podemos afirmar que, aunque se trata de un problema común, la gente lo está abordando gradualmente, lo que resulta tranquilizador. Ahora bien, una vez que consideramos algunos de los criterios que quiero ver, tenemos que considerar cómo es el perfil de un proveedor. Así que mirando por ejemplo los programas de terceros de nivel uno, nivel dos, nivel 3, por ejemplo, puede haber un subconjunto de esto que queremos cubrir para cada uno de ellos. Y de nuevo, a menudo algunos de los escollos comunes que vemos es que la gente se centra en las certificaciones o evaluaciones y eso es peligroso.

Alastair Parr: Nosotros recomendamos considerar la totalidad de estos y una trampa común que la gente falla es que no están considerando cosas como la barra de perfil financiero mirándolo de forma aislada. Así que cosas como las calificaciones crediticias... No están mirando las fuentes ESG. No están mirando los eventos proactivos y el contexto empresarial que alimenta la información. Por lo tanto, estoy consumiendo un servicio de alguien y luego puedo ver que van a ser adquiridos en 3 meses. Por lo tanto, puedo esperar algunos cambios en la forma en que funcionan y operan. Son todos buenos datos contextuales que me ayudan a entender bien lo que este tercero está haciendo y contribuye a su perfil y cómo en última instancia voy a conducir su riesgo. Y en la parte superior izquierda, vemos cada vez más gente que se ocupa de esto, pero es fundamentalmente uno de los mayores problemas en el riesgo de terceros. es enésima parte. Así que no tenemos los recursos para gestionar los terceros. ¿Cómo vamos a llegar a la cuarta, quinta, sexta partes, etc.? Y no hay una solución rápida y sencilla para esa barra. Bueno, necesitamos recursos y tenemos que buscar formas inteligentes de captarlos. Así que, como mínimo, recomendamos que la gente se haga preguntas. ¿Quiénes son las partes finales con las que estás tratando? ¿Por qué los utiliza? Uh y sólo para obtener el contexto por lo menos usted podría comenzar a tomar algunas decisiones si no llegar a esas partes finales a sí mismos. Así que ahora mirando en realidad algo de esa preparación previa, nos gustaría ver para uh algunos de esos flujos de trabajo. Queremos asegurarnos de que hemos definido lo que parece bueno, lo que son las calificaciones de riesgo deben ser, uh lo que los conjuntos de preguntas de evaluación deben ser, qué tipo de seguimiento vamos a permitir, y luego cuáles son los requisitos de remediación en el negocio y también a los terceros. Un buen programa aborda tres de las áreas clave en la parte inferior allí. Por lo tanto, los puntos únicos de fallo, siguen siendo un problema común a menos que estés empezando a documentar tu remediación anterior y lo que estás tratando de hacer. Así que tendrás, digamos, unos cuantos auditores o consultores que son expertos en la materia y confías en ellos para que se ocupen de todo en este ámbito de riesgo. Eso está muy bien.

Alastair Parr: Pero cuando un día se vayan y otra persona ocupe su lugar y tenga una perspectiva y una tolerancia al riesgo completamente diferentes, eso se reflejará en los resultados que obtengas y tu programa, lo esperes o no, empezará a desviarse y surgirán patrones. Así que le recomendamos documentar y ser coherente en la forma en que está realmente el seguimiento de estos riesgos, evaluaciones y requisitos. Uh y luego tratar de mitigar algunos de esos puntos de fallo. respuestas. Realmente no recomendamos respuestas de sí o no. Recomendamos que tengas opciones, claras, prescriptivas en torno a tus evaluaciones. Hemos visto que eso es más eficaz porque usted está indicando lo que necesitamos ver en lugar de dejar que ellos interpreten el conjunto de preguntas directamente. También puede reducir el conjunto de preguntas en gran medida y, a continuación, la definición de las recomendaciones que he mencionado por adelantado. Y esta pieza de comunicaciones de terceros es un problema masivo que estamos viendo en el riesgo de terceros que es la gente está enviando evaluaciones comprometidas con el negocio, pero no están realmente considerando algunos de los aspectos de marketing de esto, que es que estamos hablando con el negocio internamente, estamos interactuando, estamos hablando externamente con vendedores, proveedores de terceros, pero muy a menudo el tono de tiempo y la fuente de esas comunicaciones no son realmente considerados por adelantado como parte del programa, por lo que una de las soluciones más rápidas que vemos a la cuestión de los resultados insuficientes de las evaluaciones Así que la gente no responde a las evaluaciones, la gente no se compromete o la propia empresa directamente no se compromete es considerar estos factores. Así que esto es muy a menudo una de las victorias más simples que tendemos a ver cuando estamos tratando con un programa. Así que tenemos que entender cómo necesitamos comprometernos con la empresa. No sólo cuándo, sino también la cadencia. Tenemos que entender el tono. ¿Cómo nos comunicamos para obtener resultados de la empresa? ¿Y de quién tiene que venir esa voz? ¿Es el CISO? ¿Es el CIO? ¿El responsable de seguridad de la información? ¿Es el propio responsable de relaciones con la empresa?

Alastair Parr: Hay diferentes aspectos de la empresa que pueden intervenir y hacer que la gente reaccione. Eso puede llegar incluso al punto de implicar a los departamentos de compras y legal en las desventajas de los terceros. Así que uno de los puntos clave de la sesión es considerar las comunicaciones con terceros. De hecho, podemos aprender mucho de algunos de los equipos de marketing de nuestras respectivas empresas para entender qué es eficaz y qué no lo es. Ahora tenemos un montón de datos. Lo estamos haciendo fantástico. Tengo un centenar de riesgos para cada uno de mis 10.000 proveedores que he evaluado y supervisado y ahora estoy mirando fijamente a ese océano inseguro sobre qué hacer. Así que uno de los grandes problemas que vemos cuando se trata de remediación y seguimiento de eso. Uno de los mayores problemas es la mala definición de los requisitos y los impulsores. Demasiados no informan a los terceros por adelantado de lo que es bueno. ¿Qué esperamos realmente de ellos? Buscan orientación sobre la menor cantidad de esfuerzo que pueden invertir para hacerte feliz, y tenemos que darles algunas directrices e hitos para ello. Por lo tanto, recomendamos que la gente dé orientación de remediación por adelantado para agilizar ese proceso. Bueno incluso se ve como darles un poco de contenido que pueden reutilizar y reutilizar uh siempre y cuando lo están utilizando con eficacia. Y también hay demasiada gente que no pasa el problema a terceros. Asumen la responsabilidad de dirigir el problema, actuando como un auditor, cuando en realidad queremos armar a los terceros para que gestionen directamente el proceso de remediación de riesgos. De lo contrario, nos quedamos atascados con cientos o millones de cientos de miles o millones de riesgos y problemas que somos capaces de rastrear y nos quedamos paralizados sin poder hacer nada al respecto. Por lo tanto, si nos fijamos en los problemas centrales en torno a esto muy a menudo es que es un problema de escala.

Alastair Parr: Tenemos muchas partes y participantes que quieren hacer lo mínimo porque quieren seguir recibiendo los flujos de ingresos que obtienen de ti para prestar un servicio y no quieren invertir esfuerzos innecesarios en hacerlo. Y más allá de eso, tenemos que conseguir que lo hagan de una manera que sea eficaz y pueda demostrar que estamos alcanzando nuestros KPI y KIS. Y cuando lo miras de esa manera, te das cuenta de que básicamente sólo estás perjudicando eh bueno, a muchos muchos gatos, al patrimonio de terceros, lo cual es problemático. Y para cualquiera de ustedes que trató de hacer daño a los gatos, te das cuenta de que se necesita un elemento de habilidad y suerte. Pero hay algunas cosas que miramos y consideramos cuando empezamos a mirar cómo podría ser ese proceso. Así que, en primer lugar, esta es una diapositiva abrumadora, razón por la cual la precedí con una bonita imagen brillante. La razón por la que es abrumadora es porque es un ejemplo de flujo de trabajo de lo que podría ser un buen programa. Verás, hay múltiples puntos de control, hay múltiples criterios involucrados en él, y múltiples etapas y pasos. Pero si lo desglosamos y lo reducimos a sus niveles más básicos, se trata de pasar por esos hitos, comprender cuánto esfuerzo debemos dedicar y, cuando hayamos alcanzado la zona kilométrica adecuada, detenernos. No hacer más de lo necesario. Ya tenemos los datos. ¿Necesitamos comprometernos más? ¿Necesitamos invertir más recursos, etc.? Este proceso de corrección, seguimiento y gestión consiste en invertir la mínima cantidad de recursos posible para obtener el resultado más eficaz. Vemos que la gente se paraliza por el perfeccionismo al intentar asegurarse de que todo y cada uno de los proveedores están gestionados al mimo nivel. Y en la inmensa mayoría de los casos no es necesario. El punto es que va a haber hitos y puntos de control a través de ese proceso de remediación donde se puede parar y seguir adelante y pasar a la siguiente. Esto también se extiende, por supuesto, al programa de terceros en general, que es la perfección no debe ser el objetivo final. Así que mirando en realidad el proceso de remediación en sí uh Joe ¿hay algún tipo de orientación o pensamientos que usted tiene en torno a cómo podemos conducir la remediación de riesgos con eficacia?

Joe Tolley: Sí, un montón de pensamientos aquí. Um principalmente en torno a u definir la lógica por adelantado para apoyar este tipo de uh este tipo de procesos. Como usted ha dicho Alastair podría haber decenas de miles de riesgos para ir a través. Por lo tanto, la identificación de una forma de priorizar los que va a ser clave. Um, una de las mejores inversiones de tiempo que puedo pensar es mirar a través del contenido de la encuesta real y en realidad derivar este proceso a partir de ahí. Así, mirando a los cuestionarios, las preguntas que estamos pidiendo um y las respuestas disponibles, en realidad podríamos predeterminar lo que debería suceder a continuación si un tercero responde de una manera determinada. Así, si preguntamos si un tercero tiene una política de infosc y responde que no, ya sabemos cuál podría ser el resultado. Así que tal vez podríamos invertir algo de tiempo en decidir internamente lo que deberíamos hacer si alguien responde de esa manera. Um, obviamente, una política de infosc debería ser bastante importante. Así que deberíamos establecer algunas directrices básicas por adelantado sobre cómo nuestro equipo de remediación debe comprometerse con la tercera parte, qué deben decir, cuáles son sus expectativas. Ya sabes, tal vez es que una política de infoset se necesita dentro de 3 meses um y queremos que contenga X, Y, y Zed. Así que utilizando el contenido del cuestionario y algunos de los controles clave que contiene, ya podemos identificar cuáles podrían ser los siguientes pasos y definir una especie de libro de jugadas sobre cómo abordar la revisión de las respuestas y gestionar los riesgos que se derivan de ello. Un beneficio real de hacer eso es que no tenemos que recurrir a expertos en remediación de riesgos si tenemos esta información definida por adelantado. Así que si hay escasez de recursos, y no somos capaces de superar suficientes riesgos mes a mes. Si realizamos este tipo de ejercicio para definir nuestra lógica del tipo "si esto, entonces aquello", podríamos hacer que otra persona de nuestro equipo de analistas revisara esos riesgos y fuera la persona de primera línea que se pusiera en contacto con el tercero para ayudar a resolver algunos de estos riesgos. Así que podemos hacer el proceso mucho más eficiente de nuevo mediante la inversión de tiempo en mirar a las preguntas, las respuestas y cómo debemos actuar si alguien responde de una manera determinada. De acuerdo, sí. Mirando el um uh la priorización aquí, lo que realmente necesitamos hacer, de nuevo, se deriva de nuevo de la materia cuestionario, es mirar cuáles son los verdaderos controles clave que necesitamos para ser satisfechas de uh de nuestro proceso de remediación. Ya sabes, ¿hay un conjunto específico de riesgos o preguntas que tienen que estar en su lugar si se trata de un tercero de nivel uno, por ejemplo, o proveedor? um y en realidad la identificación de lo que parece bueno para nosotros, lo que nuestro tipo de capa de base es en realidad seguir adelante con un proveedor. Si invertimos tiempo en definir cuáles son esos parámetros, entonces, por supuesto, estamos mucho más equipados con las herramientas adecuadas para poder relacionarnos con un tercero, tener una conversación muy eficiente con ellos, establecer algunos objetivos claros sobre cuándo hay que entregar las cosas para, ya sabes, progresar con un proveedor y avanzar con ellos. Y um porque tenemos la experiencia también con la mirada en estos riesgos y la definición de cuáles son las expectativas. También podemos um usted sabe manejar el nivel de esfuerzo que esperamos de terceros para apoyarnos a medida que avanzamos a través de estos riesgos.

Alastair Parr: Gracias Joe. Veo que tenemos varias preguntas. Intentaremos responder a algunas más en la sección de preguntas y respuestas, pero una que voy a mencionar porque es especialmente relevante en este punto es: ¿cómo se puede ofrecer orientación para la reparación y al mismo tiempo evitar la responsabilidad si la orientación falla? ¿Hablas de orientación sin entrar en planes de acción específicos? Es una muy buena pregunta, porque hay un delicado equilibrio entre aconsejarles que apliquen las medidas y, por supuesto, tener un cierto grado de responsabilidad asociada, pero se está actuando como asesor. No les estás quitando esa obligación y compromiso de buenas prácticas y de tener sus propias auditorías internas y mecanismos de cumplimiento. De lo que estamos hablando es de darles algunas pautas y una idea de lo que son las buenas prácticas. Así que les recomendaríamos que les dijeran esto es lo que esperamos ver y luego que vuelvan con algunas pautas sobre cómo aplicarlas en su empresa. No va a ser un molde. No va a ser una talla única para todos en ese sentido. Va a ser una situación en la que, ya sabes, tienen que volver a ti con un plan de ataque y luego, por desgracia, como especialista en riesgo y cumplimiento, tienes que tomar una decisión informada sobre si eso está dentro de tu tolerancia al riesgo o no. Asumirías y esbozarías por adelantado que no estás aceptando, por supuesto, ninguna responsabilidad asociada a eso. Buena pregunta. Así que antes de pasar a la uh algunas de las otras preguntas, si sólo bucle de nuevo a continuación, hasta el principio es cuando estamos realmente mirando a los flujos de trabajo de terceros en sí mismo y el ciclo de vida de terceros y lo que realmente se sumergió en la actualidad. Hay, por supuesto, múltiples elementos dentro de ese viaje dentro del programa de terceros. Uh y gran parte de ella como se puede ver comienza con ejercicios por adelantado. Ahora bien, si usted está adoptando un programa de terceros o heredar uno, entonces puede haber algunas malas prácticas esbozadas por adelantado. No se sienta y si usted tipo de en su negocio. No sientas que tienes que adoptarlas y te recomendamos encarecidamente que dediques tiempo a profundizar en ellas, comprometerte con la empresa, ver si son necesarias y, si es posible, adaptarlas y ajustarlas. Muy a menudo, cuando vemos que estos programas fracasan, es porque están construidos sobre los cimientos algo tambaleantes de sus predecesores. Así que hay mucha planificación por adelantado y se trata de un caso de optimización y ajuste y poda con el tiempo para que sea eficaz. Por supuesto, se puede utilizar el aprendizaje automático, la inteligencia artificial, etc. para ayudar a ello. Pero siempre hay un factor humano. Va a haber contexto en cómo interactuamos con terceros. Va a haber contexto en cuáles son nuestros requisitos y procesos de toma de decisiones que impulsarán la forma en que conducimos ese proceso de remediación y la forma en que realmente nos involucramos y medimos el éxito. Así que, si vamos a resumir y destilar lo que es una buena práctica en esto y lo que hay que evitar, no trabajes sobre malas bases. Que sea un programa. Que sea repetible. Asegúrate de que tienes los mecanismos necesarios para tener éxito. Así que asegúrese de que sus esfuerzos y objetivos son proporcionales a la cantidad de recursos que tiene disponibles y dedique tiempo a planificar por adelantado para que pueda hacerlo repetible, coherente, captar el contexto y comprometerse con la empresa. Antes de abrir el turno de preguntas y respuestas, Joe, ¿te gustaría añadir algo más?

Joe Tolley: Sólo en ese punto, Alastair, creo que es um usted sabe, un punto muy bueno de dónde empezar si usted está pensando en um usted por dónde empezar en el progreso y la optimización de un programa, especialmente si usted ha usted sabe heredado algo. Uh y sin duda recomendaría toda esa fase de la que hablamos con respecto a la pieza de evaluación de la madurez sólo que la revisión del punto de control de cada uno de los componentes que conforman un programa saludable para que pueda identificar dónde están las debilidades potenciales. Usted sabe que puede descubrir algunas cosas a nivel de base real que podría ser realmente fácil y rápidamente fijo, pero, obviamente, mejora la eficiencia del programa en su conjunto. Um usted sabe que muy fácilmente. Así que sin duda recomendaría echar un vistazo a ese tipo de compromiso o ejercicio en primer lugar porque creo uh debe identificar algunos elementos claros que podrían ser revisados y uh como he dicho algunas victorias rápidas.

Alastair Parr: Gracias Joe. Veo que las preguntas no se hacen esperar. Así que vamos a pasar a la sesión de preguntas y respuestas para los próximos minutos. Amy Tweed: Bueno, estoy apareciendo de nuevo aquí. Así que um justo antes de llegar a esas preguntas, voy a dar Alastair y Joe un descanso para que puedan tomar un sorbo de agua y tomar un respiro. Pero eso fue realmente una gran presentación. Especialmente me encanta la imagen de la hering de los gatos. Um eso fue impresionante. Grandes imágenes. Um estoy lanzando una pregunta rápida en caso de que algunos de ustedes tengan que salir temprano. Um, como hemos mencionado, estamos aquí para ayudar. Así que si usted está buscando para aumentar o establecer un programa de riesgo de terceros um este año tal vez mirando a principios del próximo um usted sabe háganoslo saber sí, no, no estoy seguro. Estamos aquí para ayudar. Siempre puede enviarnos un correo electrónico a [email protected] también um si usted está buscando a alguien para charlar. Así que vamos a abrir para algunos Q & A. Veo que tenemos algunas preguntas. Voy a dejar la pregunta de la encuesta por un momento aquí. Um, y si usted tiene alguna otra pregunta como estamos terminando aquí, por favor tome un momento para traerlos pulg Esta es una muy buena oportunidad para obtener todas sus preguntas contestadas. Así que, Alastair Joe, voy a leer para usted si eso está bien y um, vamos a ir de allí. Muy bien, estamos listos para ir. De acuerdo. Una de las primeras preguntas que veo aquí es, ¿ves situaciones en las que los resultados de la gestión de riesgos de terceros son tales que una organización opta por llevar a cabo las actividades en casa?

Alastair Parr: Sí. Bueno, es una pregunta muy interesante porque a menudo, si hablas con la empresa, te dirá: "No, necesito esto. No hay alternativa. Tenemos que seguir adelante y aceptar todo el riesgo y la responsabilidad asociados a este tercero". Por lo tanto, es un reto porque estás tratando de convencer a la empresa que, obviamente, tiene un interés personal en embarcar a ese tercero uh que podría haber desafíos asociados. Y realmente, sí, vemos situaciones. Realmente va a depender del apetito de la organización. Muchas empresas, por supuesto, prefieren internalizar que externalizar. Pero vemos situaciones en las que, en la medida de lo posible, se pueden aportar recursos para satisfacer la misma demanda. El reto, por supuesto, y la razón por la que mucha gente recurre a terceros es que son especialistas o deberían ser especialistas en su campo y uno quiere pensar que van a ser más eficientes y posiblemente mejores en lo que hacen porque viven y respiran eso día tras día. Uh, pero nos resulta difícil encontrar una situación en la que usted dice que no a la empresa y que es el mayor impulsor en si van a traerlo pulg casa o no. Por lo tanto, va a ser muy dependiente de la tolerancia de su negocio y las relaciones que tiene con su negocio en general.

Amy Tweed: Entendido. Gracias por la pregunta. Muy bien, continuemos. Um, ¿cuál es la diferencia entre la evaluación contextual y la evaluación a través de dominios PCF? Alastair Parr: Ah, es una persona muy aguda. Entonces, una evaluación contextual es fundamentalmente mirar el quién, el qué, el dónde, el por qué, el cómo alrededor de esa tercera parte. ¿Quiénes son? ¿Qué hacen? ¿Cómo te apoyan? En realidad no se trata de preguntas basadas en dominios de riesgo o dominios asociados. Uh se trata mucho y no hay respuesta correcta o incorrecta. Sólo nos da suficiente información para hacernos una idea de quiénes son, qué hacen y cómo debemos acercarnos a ellos. Por eso nos centramos en la evaluación contextual y podemos utilizar esos datos para correlacionarlos con los distintos ámbitos de riesgo que examinamos. Así PCF dependiendo de su su interpretación muy a menudo será el uh la política y los marcos de control que usted está mirando. Así que mirando a los diversos controles de la empresa, los procesos, las políticas uh y luego correlacionar los dos lo que el contexto, lo que están haciendo por nosotros? ¿Significa eso que realmente tengo que preocuparme por algo? Así que, ya sabes, si limpian peceras para ti en tu recepción, pero en realidad nunca entran en la empresa, probablemente no estés tan preocupado por cosas como su postura de seguridad física en sus oficinas. Así que la clave está en el contexto.

Amy Tweed: Impresionante. Gracias por la pregunta. Así que, sí, tenemos un par más um aquí. Sé que nos estamos acercando al final de la hora, unos seis minutos más. Así que, si tienen preguntas, háganlas ahora. Tendrán algunos expertos para responderlas, lo que es muy bueno. Por lo tanto, la siguiente aquí, si una empresa está en el nivel de madurez dos. ¿Cuánto tiempo se tarda en llegar a A4? Esa Alastair Parr: es una muy buena pregunta. Joe, tú eres nuestro experto residente en evaluaciones de madurez. Joe Tolley: Sí, claro. No hay problema. Sí, una buena pregunta. Es difícil de decir. Um de la realización de estas evaluaciones de madurez, ya sabes, hasta la fecha, um podría ser que usted está en un nivel saludable dos y usted sabe el esfuerzo para llegar a un cuatro es algo real um usted sabe, cosas óptimas. O puede ser que una organización ya tenga un programa maduro pero le falten algunas de las cosas fundamentales por las que el nivel de madurez ha bajado bastante. Yo diría que es difícil poner un tiempo en él, pero yo diría que dentro de 12 meses usted debe ser capaz de madurar por lo menos una especie de nivel. Pero todo dependerá del número de elementos que contribuyan a ese aumento y, obviamente, de los recursos de que se disponga para llevar a cabo ese tipo de ejercicios. La evaluación de la madurez que llevamos a cabo, el resultado es una bonita lista binaria de elementos um con algunos niveles estimados de esfuerzo en contra de ellos. Por lo tanto, esto podría ser una gran idea para uh a participar en ese tipo de evaluación de la madurez sólo para que pueda ver los tipos de cosas que buscamos que contribuyen a los aumentos de nivel de madurez. Uh y, por supuesto, entonces podríamos darle algunos detalles bastante precisos sobre cuánto tiempo esperaríamos, ya sabes, una organización bastante madura para poder llegar allí.

Amy Tweed: Genial. Gracias, Joe. Muy bien, han llegado un par de preguntas más. Así, el siguiente que usted ha mencionado la comunicación con el negocio. Um, esta persona está de acuerdo, pero el nivel de lo que el nivel de detalle que usted proporciona a las partes interesadas de su negocio para que puedan tomar una decisión informada?

Alastair Parr: Sí. Entonces, es un punto desafiante porque están confiando en ti como el experto en la materia en algunos aspectos. Y muy a menudo el proceso que vemos es que el equipo de gestión de riesgos de terceros proporcionaría algunas ideas y en alguna orientación informada al propietario de la empresa y luego pedirles que acepten o rechacen y pasar los propietarios a ellos que es un poco injusto porque no son el experto en la materia. El equipo del programa de terceros debería dar una orientación más definitiva al propietario de la empresa sobre cuál es el problema asociado y qué esperarían. Así que normalmente no recomendamos darles todos los matices, todos los riesgos, todos los problemas. Lo que generalmente les decimos es, ya sabes, déjalos entrar en la tercera parte hasta cierto punto, pero no hasta el final. Les dejamos ver los resúmenes generales, les damos algunas orientaciones y recomendaciones y les ayudamos a tomar la decisión. Por todos los medios, la responsabilidad puede recaer en ellos y pueden tomar la decisión final, pero no necesitan conocer los matices de cada uno de los riesgos y problemas. Amy Tweed: Entendido. Gracias, Alastair. Muy bien, esta última pregunta del público me gusta mucho. Buscan información sobre otros indicadores clave de rendimiento de la gestión de riesgos de terceros que se puedan utilizar y la mejor forma de realizar su seguimiento.

Alastair Parr: Por lo tanto, si estamos buscando en el programa K diferenciar aquí entre un KPI y y KRI. Así que si usted está mirando puramente en el rendimiento del programa, hay niveles de expectativa que se puede atribuir sobre la base de los recursos. Uh y lo que normalmente hacemos para impulsar un KPI y o lo siento nuestros criterios KPI es que estamos utilizando la calculadora de recursos por adelantado. En primer lugar, trazamos el flujo de trabajo de servicio de alto nivel. Así que tenemos que entender cuáles son los puntos de control y los hitos. A partir de ahí, introducimos el volumen del patrimonio que tenemos y, en función de eso, podemos definir un KPI efectivo. Sabemos que hay niveles uno, dos y tres, por ejemplo, que deben pasar por estos puntos de control e hitos. No sabemos de antemano hasta dónde va a llegar cada uno de ellos, pero lo que sí podemos entender es lo que nuestro equipo es capaz de conseguir con las automatizaciones de que dispone y lo que es capaz de hacer. Así que buenas métricas de mejora de los KPI. Lo que queremos ver es cómo podemos encontrar la manera de aumentar los volúmenes de terceros que pasan por los puntos de control respectivos, porque muy rara vez se va a dar una situación en la que tengas más recursos y más capacidad que el patrimonio de un tercero. Suele ser al revés. Así que algunas de las mejores métricas de mejora de los indicadores clave de rendimiento que esperamos es que un número X de terceros superen el proceso de evaluación en este número de días. ¿Cómo podemos reducirlo? Observamos un número Y de riesgos. ¿Cómo podemos reducirlo en función de nuestra tolerancia al riesgo? ¿Cómo reducimos el número de los que tenemos que aceptar regularmente? Y no es eliminando riesgos. Se trata simplemente de cambiar los objetivos de lo que consideramos aceptable y tolerable. Por lo tanto, cualquier buena métrica de mejora de los indicadores clave de rendimiento debe basarse en los recursos disponibles y las automatizaciones de las que se dispone para arrastrar a terceros a través de esos hitos y puertas de su flujo de trabajo de servicio de alto nivel.

Amy Tweed: Impresionante. Gracias , Alastair. Um creo que eso es todo para cualquier pregunta de la audiencia. Alastair o Joe, ¿les gustaría añadir algo antes de que cerremos nuestra sesión de hoy? Alastair Parr: No, pero gracias a todos por escuchar. Joe Tolley: Sí, suficiente de mí. Gracias. Gracias. Amy Tweed: Sí, realmente apreciamos su experiencia y, como recordatorio, esto se graba por lo que será enviado a su bandeja de entrada mañana a primera hora. De nuevo, si tienes alguna pregunta o quieres saber por dónde empezar o cualquier cosa relacionada con la gestión de riesgos de terceros, puedes enviarnos un correo electrónico a info prevalent.net. Síganos en LinkedIn, síganos en Twitter. Estamos aquí para ayudarles y tenemos un montón de seminarios web y blogs para compartir con ustedes. Gracias a todos por venir. Espero que tengan un gran resto de su día donde quiera que estés. Um, gracias Alastair y gracias Joe.

Joe Tolley: Gracias a todos. Que tengan un buen día.