¿Qué nos depara el futuro en materia de riesgos de terceros en 2024?

Melissa: Empecemos con unas presentaciones. Me llamo Melissa y trabajo aquí, en Prevalent, en el departamento de Desarrollo Empresarial. Hoy tenemos un par de invitados. Tenemos a Alistair Parr, nuestro vicepresidente sénior de productos y servicios globales. Bienvenido de nuevo, Alistair.

Alistair Parr: Gracias por invitarme.

Melissa: Y por último, pero no menos importante, tenemos a Scott Lang. Hoy está con nosotros. Scott es nuestro vicepresidente de marketing de productos y, al final de la sesión, nos explicará cómo podemos ayudarle a madurar su TPR y su programa. Esperemos que tengamos tiempo para ello. Hola, Scott.

Scott Lang: Hola, Melissa. Y, como pequeño aviso, este seminario web se está grabando, por lo que recibirás una copia. Así que no es necesario que tomes notas. Recibirás las diapositivas poco después del seminario web. Todos tenéis el micrófono silenciado. Utilizad el cuadro de preguntas y respuestas si tenéis alguna pregunta y podéis hacerla de forma anónima si lo preferís. Sin más preámbulos, Alistair va a repasar el año en materia de riesgos de terceros y explorará las tendencias emergentes que impulsarán los TPR y los programas en 2024. Adelante, Alistair.

Alistair Parr: Estupendo. Gracias, Vanessa. Buenos días, buenas tardes o buenas noches, dondequiera que se encuentren. Gracias por acompañarme hoy. ¿Qué vamos a tratar hoy? En mi opinión, estos seminarios web que hacemos una vez al año son siempre muy interesantes. Aquí es donde reunimos a todas las grandes mentes de Prevalent en una sala y yo me siento y me quedo allí, de pie o sentado, escuchándoles con admiración mientras hablan de lo que ven, cuáles son las amenazas y cuáles son las tendencias. Recopilamos la información de todos los analistas con los que hablamos y la sintetizamos en lo que consideramos las 10 predicciones más importantes. La buena noticia es que, para aquellos que hayan participado en nuestros seminarios web anteriores sobre este tema, muchas de nuestras predicciones se han cumplido. Así que hoy debería ser un día bien aprovechado en ese sentido. Para empezar, hola a todos. Alistister Par. Por aquel entonces tenía un aspecto un poco más joven y fresco, pero ¿por qué estoy aquí hoy hablando con ustedes? Soy el vicepresidente sénior de productos y servicios de Prevalent. Y tengo la alegría, la bendición y la maldición de hablar con cientos y cientos de clientes diferentes, específicamente sobre la gestión de riesgos de terceros. Veo lo bueno, lo malo y lo feo en relación con el funcionamiento y la interfaz de sus programas. Y tengo la alegría de poder trabajar con algunos de ellos en mejoras activas, abordando la madurez y llevándolos a un punto de satisfacción, esperemos, en lo que respecta a la gestión de riesgos y del ciclo de vida de terceros. A lo largo del día de hoy, les animo de nuevo a que, si tienen algún comentario, si quieren hacer alguna predicción o tienen alguna idea, no duden en incluirla en las secciones de preguntas y respuestas y de chat, y haremos todo lo posible por incluir algunas respuestas en el discurso general a medida que avancemos a lo largo del día. Si no es posible, por supuesto, intentaremos reservar algo de tiempo para preguntas y respuestas al final. Voy a hablar de unas 10 predicciones fundamentales que tenemos para el próximo año. Y sin más preámbulos, voy a pasar directamente a la primera. Nuestra primera observación y predicción está relacionada con la financiación de la gestión de riesgos de terceros.

El año pasado hablamos sobre el hecho de que en 2023 habría una mayor presión sobre los programas, lo que se traduciría en un mayor enfoque en aspectos como la eficiencia y la automatización, e incluso en cierta medida en la externalización a lo largo del ciclo de vida de terceros. Desde nuestra perspectiva, lo que resulta muy interesante es que hemos observado una tendencia, probablemente más en los últimos seis meses, que esperamos que continúe el año que viene, y es que se espera que la gestión de riesgos de terceros sea un programa. Por lo tanto, me gustaría pensar que ahora nos encontramos en la culminación de años y años de trabajo en los que la TPRM es una expectativa. Ha madurado. Es casi una apuesta segura cuando se empieza a analizar el posicionamiento organizativo. Por mucho que hayamos visto incertidumbre económica, inflación en diferentes países e incluso escasez de mano de obra cualificada a principios de 2023, tenemos algunas expectativas para 2024 de que la inversión se mantendrá constante. Es una apuesta segura y eso no va a cambiar. Ya sabes, vemos compromiso a nivel de la junta directiva, a nivel ejecutivo y a nivel de los inversores cuando se trata de TPRM. Ahora, mirando hacia atrás al 2023, hay períodos en los que ha sido un reto encontrar profesionales experimentados y cualificados en TPRM. No se espera que eso cambie el año que viene. Sigue habiendo una situación en la que hay demasiado trabajo, creo, para los profesionales que están ahí fuera. Pero esperamos que los programas sigan siendo cada vez más eficientes y eficaces, en parte debido a la culminación de cosas como la IA generativa, el aprendizaje automático, por supuesto, el análisis de conjuntos de datos y mejores automatizaciones, así como la integración entre diferentes sistemas que permitirán que menos personas hagan más. Esperamos que esto continúe y probablemente se acelere en 2024. No esperamos ningún cambio real desde el punto de vista de la madurez de cara al próximo año. Esperamos que se mantenga esa expectativa de apuestas mínimas. Y, por desgracia, es probable que veamos más días cero y problemas que harán que la gente siga centrándose y comprendiendo lo que cada uno de nosotros hace en nuestros programas. El año pasado hablamos de la externalización.

Esperábamos una mayor externalización debido a la falta de recursos cualificados y a la gestión de costes en 2023. Prevemos que en 2024, por mucho que veamos aparecer y llegar al mercado estas nuevas capacidades de automatización, aún no habrán alcanzado un grado de madurez suficiente como para sustituir básicamente a las personas y absorber el presupuesto desde esa perspectiva. Siempre consideraremos estas automatizaciones, capacidades, aprendizaje automático, PLN e IA como complementarias. Seguiremos necesitando personas para validar los resultados. Por lo tanto, seguirá siendo necesario aplicar modelos de externalización para servicios gestionados o ajustar adecuadamente el nivel de esfuerzo en función de los tipos de recursos con los que contamos en la empresa. En resumen, la observación número uno es que la financiación es una apuesta segura y seguirá siéndolo en 2024. Por lo tanto, no esperamos recortes presupuestarios en 2024. En cambio, esperamos que la gente quiera hacer más por la misma cantidad. Pasando a nuestra segunda predicción y observación, la convergencia de programas. Se trata de una afirmación muy generalista y abierta. La convergencia de programas suena muy bien. Pero lo que realmente queremos decir con esto, y lo hemos articulado en el pasado y hemos seguido manteniéndolo, es que la gestión de riesgos de terceros está evolucionando hacia la gestión del ciclo de vida de terceros, y la diferencia clave aquí es el hecho de que se tiene un ciclo de vida de los proveedores, desde su incorporación hasta su salida, y, vinculado a ello, se ve cómo diferentes personas y grupos se involucran en él. Por ejemplo, cuando se pasa por el proceso de selección y contratación, la gestión de riesgos inherentes, sean cuales sean los tipos de riesgo, la evaluación de los resultados y la aplicación de medidas correctivas. A continuación, se requieren capacidades de supervisión continua, la gestión del rendimiento de los acuerdos de nivel de servicio y, por último, la salida y la rescisión. Es un ciclo de vida. Va a seguir siendo un ciclo de vida y lo que estamos viendo es que diferentes personas se involucran, perdón, y tienen más compromisos en el panorama de terceros. Estamos viendo y esperamos un aumento y una tendencia de que las compras sean un motor para el ciclo de vida de terceros.

Así que, ya sea KYC o KYS, conocer a tus clientes y conocer a tus proveedores, existe la expectativa de que quieran saber con quién están tratando, si han cometido actos de sobornocorrupción o esclavitud moderna, es evidente que se avecinan más regulaciones, especialmente en Europa, en relación con ABC, durante el resto del año y el próximo, y en general buscan tener esa instantánea de supervisión para poder entender si el proveedor es bueno. ¿Hay alguna cuestión clave que debamos tener en cuenta y hacia dónde vamos a partir de aquí? Vamos a seguir viendo cómo el departamento jurídico se involucra en el proceso. En este momento, el departamento jurídico tiende a estar más segmentado y se ocupa más de la gestión de contratos y cláusulas. Estamos viendo que el departamento jurídico se interesa cada vez más por las formas de automatizar la detección de cláusulas y el análisis comparativo entre cosas como los MSA y los términos. Y luego lo utilizarán con el resto del ciclo de vida para identificar fallos. Por supuesto, eso conduce a la gestión de riesgos. Cuando se empieza a tratar la gestión de riesgos en su conjunto, se sabe que está relativamente establecida en lo que respecta a la gestión de riesgos de terceros, pero siguen siendo un actor fundamental en la gestión del ciclo de vida de terceros. Y estamos viendo operaciones que utilizan los conjuntos de datos de adquisiciones, asuntos legales y riesgos para impulsar aspectos como la resiliencia operativa y la gestión de terceros, así como la calidad y la garantía de calidad, si están haciendo lo que dicen que hacen, etc. Y, por último, sigue existiendo el requisito omnipresente y constante de la auditoría. Estamos hablando con muchos clientes y personas diferentes y, en general, la gran mayoría está siendo auditada de alguna forma. Ahora bien, no tiene por qué ser necesariamente una auditoría externa, puede ser interna, pero no creemos que eso vaya a cambiar, ya que las obligaciones de cumplimiento y las exigencias normativas que se imponen en Estados Unidos siguen aumentando y se vuelven más complejas. Esperamos que ese nivel de auditoría y escrutinio persista hasta 2024 y que se sigan realizando auditorías continuas de nuestros programas de TPRM. Eso se traduce en un ciclo de vida más amplio y en las cosas que hacemos en un ciclo de vida.

Pero quería hacer referencia a algunos materiales que realmente se han generado. Así que algunos de ustedes que han participado en algunos de nuestros seminarios web en el pasado pueden haber estado expuestos a algunas de estas métricas. Pero, por supuesto, Scott comentará más adelante este estudio que hemos realizado. Pero, por lo que hemos podido observar entre el público con el que hemos hablado, se puede ver claramente en la parte derecha que cada vez más componentes del ciclo de vida más amplio están involucrados en la TPRM. En cuanto a la seguridad de la información, el 70 % está más involucrado. En cuanto a la gestión de riesgos, el 51 % está más involucrado. El 45 % del cumplimiento y la auditoría están más involucrados. En cuanto a las compras y los pagos, el 44 % de los propietarios de negocios, el 34 % y los ejecutivos, el 33 %. Para matizar las estadísticas que estoy sacando, hay personas que están más involucradas en lugar de estarlo de forma constante. Así que, sin duda, se observa una tendencia que esperamos que continúe en 2024, en la que estas áreas de negocio distintas participan y aumentan su participación en el ciclo de vida de terceros y en el proceso de gestión de riesgos. Por lo tanto, no esperamos que eso cambie. Y, por cierto, si aún no ha visto nuestro estudio sobre la gestión de riesgos de terceros, no dude en ponerse en contacto con nosotros. Estaremos encantados de compartirlo con usted y, al final, le explicaremos cómo puede acceder a él. Y solo para reforzar eso, cuando realmente empiece a desglosar esas métricas, cuando realmente vea cómo están involucrados ahora que están más involucrados, por supuesto, Infosc tiende a impulsar los programas allí, como puede ver, están involucrados en el diseño de la estrategia, la ejecución de las evaluaciones y el seguimiento mediante los informes. Se observa que los usuarios de los datos suelen ser los responsables de la gestión de riesgos, el cumplimiento normativo, las adquisiciones, los propietarios de empresas y los ejecutivos. Hay una fuerte tendencia a que haya usuarios, como muestra la barra morada. Esperamos que esa barra siga aumentando, concretamente la barra morada de usuarios de informes de información de terceros, mientras que Infosc o Adquisiciones, o la gestión de riesgos, suelen llevar a cabo los ejercicios para obtener los datos. Entonces, ¿cuál es nuestra predicción en lo que respecta a esta convergencia de datos?

Eh, y esta convergencia de programas consiste en que se va a producir un aumento en el diseño y la planificación de estrategias de adquisición para programas de gestión de terceros, y se va a producir un aumento en el uso por parte de los usuarios empresariales, eh, los propietarios de empresas, perdón, y, eh, el uso de la información y los informes de terceros por parte de los responsables de adquisiciones a lo largo del tiempo y, por supuesto, los ejecutivos también seguirán esa curva. Pasemos ahora a nuestra tercera predicción y, para que quede claro, acabamos de hablar de la convergencia de programas. Ahora hay una distinción entre el punto número dos, la convergencia de programas, y la predicción número tres, que es la convergencia de datos. ¿Y cuál es esa diferencia después de mi oportuna tos? Para nosotros, la convergencia de datos se refiere a todos los diferentes componentes que conforman el perfil de un proveedor. Históricamente, la gente tiende a fijarse en cosas como: ¿Cuál es su postura cibernética? Pueden fijarse en qué datos de evaluación podemos amalgamar para ellos. Lo que hemos visto y lo que esperamos que siga aumentando es el número de dominios de riesgo no relacionados con la TI que alimentan los perfiles de los proveedores que vemos en estos programas. Esto se debe, por supuesto, a que la predicción y la observación número dos es que las compras, la TI, el cumplimiento normativo, etc., buscan consumir datos sobre los proveedores y tienen diferentes perspectivas para percibir esa información. Eso no va a cambiar y sin duda lo hemos visto en 2023, donde tenemos programas impulsados inicialmente por la seguridad de la información, pero que también incorporan ciclos de vida y flujos de trabajo de compras. Eso no va a cambiar. Así que, aunque las evaluaciones seguirán siendo fundamentales y no creemos que vayan a desaparecer, porque son la mejor manera de obtener datos validados bajo la superficie de los propios terceros, el contenido de las evaluaciones va a variar. Así que veremos un contenido de evaluación que abarque toda la gama de aspectos que buscan las áreas de compras, TI, seguridad y cumplimiento, y que se complementará con flujos de datos adicionales. Por supuesto, la ciberseguridad continuará. No creo que sea una predicción. Creo que es un hecho establecido que vemos hoy en día. La inteligencia empresarial está cobrando cada vez más importancia, en parte impulsada por las compras.

Y por negocio, lo que quiero decir aquí es empezar a fijarse en cosas como: ¿Cuál es su postura operativa? ¿Están lanzando nuevos productos? ¿Están llevando a cabo alguna fusión o adquisición en particular que debamos tener en cuenta? Ese tipo de datos. Es el espíritu de la empresa. ¿Qué están haciendo y quiénes son? Los registros financieros suelen seguirse de forma separada en el ciclo de adquisición. De hecho, ahora se siguen con más frecuencia. Prevemos que esto también se mantendrá el año que viene con una cadencia regular. ¿Hay cambios en sus puntuaciones financieras? ¿Quién es el beneficiario último asociado a esa empresa? Ese es el tipo de datos que se están empezando a fusionar en estos perfiles de proveedores más amplios. Estamos viendo cada vez más atención y esperamos que esto se intensifique en 2024 en lo que respecta a los acontecimientos geográficos. ¿Qué quiero decir con eso? Nos referimos a cosas como que pueda haber determinados desastres naturales en determinados lugares, o que pueda haber ciertas huelgas, o, por ejemplo, que pueda haber problemas políticos en determinados territorios o guerras. Este es el tipo de acontecimientos geográficos que vemos cada vez más desde el punto de vista de la resiliencia operativa. Las certificaciones siguen siendo una marca de verificación, casi un punto de control y una marca de verificación para el ciclo de adquisición, y la gente espera que los proveedores proporcionen ahora esa certificación de forma recurrente, lo que continuará en 2024, ya que el análisis de las mismas se hace más fácil y se automatiza su interpretación. Y luego, la n-ésima parte. Para aquellos que no lo sepan, para aclarar, la n-ésima parte son los proveedores de sus proveedores. Más adelante hablaremos de una predicción específica sobre las partes finales. Pero lo que vemos con respecto a las partes finales es que la gente está buscando y esperamos que esto continúe en 2024. Buscan información sobre los proveedores críticos. Puede que no sean capaces de evaluarlos, pero quieren saber quiénes son. Y, lo que es más importante, comprobar que el tercero está haciendo su debida diligencia con ellos, incluso si no lo van a hacer ellos mismos.

Así que cuando se fusionan todos estos puntos de datos, evaluación, cibernética, visitas, etc., se obtiene una visión contextual muy clara y un panorama más rico de sus terceros. Esto es cada vez más valioso, ya que tenemos estas diferentes personas que consumen los datos a través de la pieza de convergencia del programa. Y quería dedicar un momento a profundizar en una de esas vías en particular, porque está relacionada con una de nuestras predicciones, que es la parte de información geográfica y política a la que me he referido. Ahora bien, históricamente, esto no ha sido realmente un aspecto central del proceso de TPRM, desde el punto de vista de la resiliencia operativa, pero la COVID ha abierto los ojos a muchas organizaciones que saben que deben estar preparadas para pandemias, etc. Y solo para dar un ejemplo a todo el mundo. De hecho, en mi anterior trabajo como auditor, en el que teníamos que producir contenido para cosas como la gripe porcina, procesos reactivos, etc., muchas organizaciones ponían los ojos en blanco y pensaban: «Vale, lo dejaremos en el cajón y nunca lo usaremos». Por supuesto, llega la COVID y las pandemias se convierten en una prioridad y, de repente, nos damos cuenta de que la mayoría de estos proveedores no están haciendo nada al respecto. Desde entonces, hemos visto un aumento en las áreas de interés en el frente de la resiliencia operativa y eso es durante lo que predecimos que, de aquí a 2024, cosas como los paisajes geopolíticos y medioambientales basados en las geografías aquí van a ser más importantes, puntos de datos esperados que estamos rastreando y a los que estamos reaccionando frente a nuestros terceros. Ahora bien, hay problemas inherentes a esto, ya que es muy difícil predecir o identificar todos los emplazamientos geográficos localizados en los que opera un tercero, mientras que la sede central suele ser relativamente evidente para sus informes financieros, UBOS, o lo que sea, los emplazamientos localizados tienden a ser, en algunos casos, secretos comerciales, o pueden limitarse a proporcionarle pequeñas oficinas que tienen repartidas por ahí, no necesariamente emplazamientos de fabricación que utilizan, etc., o cuartos.

Así que esto es un reto, pero la gente se va a centrar en ello desde una perspectiva más pragmática, es decir, vamos a fijarnos en nuestros proveedores actuales que, al menos, afirman operar en territorios concretos y centrarnos en aquellas cosas que puedan tener un impacto tangible. Así que, si hay guerras en curso, interrupciones en las regiones, inundaciones, huelgas, lo que sea, la gente querrá poder ver a través de una notificación que tienes 74 proveedores en esta limitación geográfica en este territorio, para poder reaccionar si eso va a afectar a tu cadena de suministro o a la resiliencia de tus centros de datos. Usted querrá poder dar una respuesta a los ejecutivos y a cualquiera de sus clientes antes de que se difunda más. ¿Y cómo va a hacerlo la gente? Va a utilizar una combinación de soluciones de supervisión que le proporcionarán ese nivel de información. No va a ser universalmente preciso, en el sentido de que no se van a cubrir todos estos subsitios, pero, no obstante, es el primero que avanzará hacia 2025, 2026, etc., donde veremos que la gente empieza a controlar mejor estos acontecimientos geopolíticos y es capaz de reaccionar ante ellos. Y, de nuevo, todo ello está relacionado con esta mentalidad más amplia de convergencia de datos. La industria seguirá ávida de datos. Seguirán ávidos de crear estos perfiles completos porque estas partes dispares del negocio lo piden y ven su valor. Eso no va a cambiar. Así que la observación número cuatro, pasando a las tres A en este caso, análisis avanzado y agregado. Lo que realmente quiero decir es que las personas están creando capacidades de generación de informes cada vez más versátiles frente a un conjunto de datos cada vez mayor. Esto significa que todos estos datos que se están convergiendo frente a un panorama ampliado de terceros son fantásticos, ya que podemos obtener datos analíticos más ricos y mejores. Por lo tanto, de cara a 2024, esperamos que los informes más personalizados cobren protagonismo, y lo que queremos decir con eso es que empezaremos a segmentarlos realmente en tres áreas principales.

Hay algunos aspectos periféricos más allá de esto, como los propios proveedores o, por supuesto, los profesionales, pero los tres públicos principales para los informes de alto nivel suelen ser, en muchos casos, el CISO, que impulsa el programa, la empresa, por supuesto, es decir, los líderes empresariales en general, y, por supuesto, el consejo de administración. Esos son los impulsores que nos llevarán hasta finales de 2023, pero esperamos que eso empiece a cambiar y a evolucionar para incluir a otros perfiles adicionales. Y lo que la gente está mirando y seguirá mirando será, por supuesto, el riesgo. ¿Cuál es mi panorama de riesgos en relación con mis terceros? Muy bien, bastante sencillo. Las amenazas, concretamente las amenazas externas asociadas a esos riesgos. ¿Cómo afecta eso a mi postura de cumplimiento? Y, por último, ¿qué tipo de cobertura tengo realmente contra ellas? Cuando se empiezan a fusionar estos cuatro factores contribuyentes, que no son más que formas de interpretar un conjunto de datos más amplio, es así como se empieza a construir estos verdaderos programas de gestión de riesgos de terceros. Y esperamos que eso continúe y se vuelva más centrado en las personas. La forma en que la junta directiva interpretará esto será muy diferente de, por ejemplo, la de su director de compras, su director jurídico o quienquiera que sea. Y eso se ha complementado con la madurez. Así que estamos viendo un aumento en las expectativas de las personas de que van a hacer un seguimiento del proceso de su programa en lugar de solo de los proveedores. Antes, esa mentalidad se centraba bastante en los proveedores. Pero lo que estamos viendo es que la gente empieza a pensar en el contenido de la cobertura, las funciones y responsabilidades, la corrección y la gobernanza en todo su proceso. Históricamente, cuando hemos realizado evaluaciones de madurez, un cliente nuevo que empieza desde cero suele situarse en torno a la marca de 1,7. Un cliente maduro suele rondar la marca baja. Era muy raro ver a alguien acercarse a un cuatro desde el punto de vista del proceso. Prevemos que en 2024 veremos un aumento general de alrededor de 0,3 o 0,4 en las curvas de madurez a finales de año. Ahora bien, eso supone un gran salto si tenemos en cuenta que cada vez es más difícil progresar en este ámbito.

Y el motor de esto es el hecho de que las herramientas y capacidades que se están poniendo a disposición permiten a las personas interactuar con los proveedores de forma masiva y analizar conjuntos de datos más amplios y empezar a segmentarlos para tomar decisiones más informadas e inteligentes utilizando elementos como la automatización, etc. Ahora bien, otro componente en el que, desde nuestro punto de vista, esto se enriquecerá aún más es el de los conocimientos sobre el comportamiento. Así que empecemos a hablar del análisis avanzado en este ámbito. Esperamos que, en 2024, cada vez más personas tengan la capacidad de examinar los conocimientos sobre el comportamiento como parte de sus métricas de información. ¿Qué quiero decir con métricas de comportamiento? Me refiero a cómo interactúan sus proveedores, cómo interactúa la empresa, es decir, el elemento humano. Sé que el término «elemento humano» se utiliza en exceso en la gestión de riesgos como mentalidad, pero al final, más allá de la supervisión pasiva, si hablamos con un proveedor, ya sea sobre cómo va a solucionar esto, cuál es la situación actual para ustedes o incluso cómo gestionan nuestros KPI KISS que hemos acordado, se puede obtener mucha información útil sobre cómo responden yesperamos que eso se vuelva menos localizado por proveedor, sino que en 2024 cosas como los modelos analíticos que vemos por ahí empezarán a proporcionar a la gente datos valiosos para ver predicciones e interpretaciones basadas en el comportamiento de los usuarios en estos programas, lo que sería muy emocionante desde nuestra perspectiva. Así que, de nuevo, quería volver a nuestros datos de evaluación de 2023. Para reforzar algunos de los problemas que la gente está teniendo y que, de hecho, están impulsando este cambio hacia 2024, hay que tener en cuenta que, cuando se empieza a analizar la percepción general de los programas de la gente, el 50 % de las personas no cree que su programa TPR esté abordando todas las necesidades del departamento. Se trata de una cifra bastante elevada. El 40 % cree que el riesgo no se está evaluando de forma eficaz en el ciclo de vida del evento.

Y al revisar esta lista sin insistir demasiado en el tema, se puede observar que, en la mayoría de los casos, las personas no consideran que sus programas sean lo suficientemente eficaces, y uno de los factores clave para ello es la capacidad de informar eficazmente sobre los datos para poder identificar los riesgos y las áreas de exposición en sus procesos. Quiero llamar la atención sobre la métrica de la parte inferior derecha, donde el 43 % considera que satisface más las demandas de información sobre los riesgos de terceros. Esto va a impulsar esta mentalidad hasta 2024, cuando cada uno de estos perfiles utilizará herramientas como el análisis del comportamiento o un análisis más amplio de conjuntos de datos más ricos, y podrá extraer mejores conclusiones y mejorar sus programas y su madurez en consecuencia. Desde nuestra perspectiva, estamos muy emocionados por ver cómo va a evolucionar esto. Observación número cinco: NLP, procesamiento del lenguaje natural. Si nos fijamos en cómo el NLP lleva varios años utilizándose en la gestión de riesgos de terceros, esperamos algunos cambios para 2024, y algunos de ellos son... Y, para reiterarlo para aquellos que no saben necesariamente qué es, se trata esencialmente de tomar, desde una perspectiva de gestión de riesgos de terceros, documentación, documentos de Word, PDF, lo que sea, y ser capaz de interpretarlo y analizarlo y luego hacer algo con ello. Sencillo. Hasta la fecha, esto se ha centrado generalmente en algunos flujos de trabajo relativamente inferiores en los que se buscan cosas como palabras clave concretas o no se tienen en cuenta aspectos como el sentimiento en torno a documentos, párrafos, frases, cláusulas concretos, sea lo que sea. Pero finalmente estamos llegando a un punto de madurez en el que vemos que eso va a cambiar en 2024. Vamos a ver cómo se aprovecha cada vez más el PLN para extraer datos de forma coherente de la documentación proporcionada por los proveedores. Vamos a ver cómo empieza a traducir documentos que pueden estar en otros idiomas. Por fin hemos llegado a un punto en el que se ha alcanzado un grado de madurez que nos permite confiar en algunos de los datos obtenidos. Incluso empezaremos a verlo en las evaluaciones, teniendo en cuenta el sentimiento de determinadas políticas de conjuntos de información, cláusulas, etc.

y luego incorporarlo al contenido de la evaluación, al contenido de la evaluación estructurada. Y supongo que esa es la clave que hay que extraer de todo esto, que es lo que el PLN nos va a permitir hacer en 2024: aplicar estructura. Vamos a tomar estos documentos no estructurados. Vamos a poder interpretarlos y traducirlos según nuestras necesidades. Y lo que es más importante, lo que veremos en 2024 es que cada vez más personas crearán acciones basadas en ellos. Está muy bien extraer datos de un documento, pero si no los normalizamos en acciones y automatizaciones, son menos útiles. Por fin se ha alcanzado un grado de madurez en el que vamos a empezar a ver eso y que se convierta en la norma, en lugar de la excepción, en 2024. Algunos ejemplos de lo que queremos decir con esto son: alguien podría proporcionarle un informe SOCK 2, una ISO, su política de seguridad de la información, pudiendo extraer cosas como fallos de control y crear riesgos contra ellos. Tomar el componente de alcance y rellenar una evaluación de riesgo inherente o un perfil y una evaluación de desgarro basados en las respuestas, o tomar un documento que me han enviado en japonés, idioma que no domino, y traducirlo para mí, lo queson beneficios tangibles para mi programa de terceros y si puedo hacerlo sin tener que hacerlo yo mismo y estoy revisando los deberes, genial, ahora algunas de las cosas que van a impulsar la adopción del NLP, una de las cuales es que esperamos que en 2024 cada vez más terceros y proveedores vayan a proporcionar su material de autoevaluación. Puede que sea ratificado externamente. Puede que sea un Sock 2, puede que sea de alta confianza, sea lo que sea. Pero cada vez son más los que se resisten. Por lo tanto, esperamos que se realice un análisis de estos documentos. El reto al que se enfrentan las personas es, por supuesto, el hecho de que todos estos documentos tienden a tener formatos muy diferentes. Si tomamos un documento Sock 2, puede tener 100 páginas o puede tener 20 páginas. El alcance puede variar drásticamente entre ellos. Y hasta hace relativamente poco, era necesario que una persona intentara comprender y destilar el material en riesgos tangibles.

En 2024, es casi seguro que esto ya no será necesario. Por lo tanto, inicialmente veremos cómo la gente lo utiliza para identificar problemas, controlar fallos y riesgos. Y luego, a medida que avance el año, eso se convertirá en la creación de contenido de evaluación y contenido de plataforma. Así que, en algunos casos, el PLN va de la mano con nuestra sexta observación y predicción, que está relacionada con la IA generativa. Casi me asusto un poco cuando empiezo a hablar de la IA generativa como predicción, porque es tan frecuente y prominente en la conversación general sobre el riesgo de terceros y, en general, en todo el mundo en este momento, que casi parece que todo el mundo se está subiendo al carro para referirse a ella, pero empezaré ilustrando una curva de Gartner muy interesante relacionada con esto, que muestra que hay muchos componentes diferentes que intervienen en la inteligencia artificial. Y la IA generativa suele situarse en lo que ellos clasifican como el pico de las expectativas infladas. Muy pronto se empezará a ver cómo, con el tiempo, se convierte en lo que ellos llaman el valle de la desilusión, antes de llegar finalmente a un grado de productividad. Esto es sin duda aplicable cuando se empieza a analizar la IA generativa, que es muy amplia. Mucha gente se centra en cosas como los grandes modelos de lenguaje y piensa que es estupendo, pero no se siente necesariamente cómoda con su uso en un programa de gestión de riesgos de terceros. Sin duda, es mejor ser un segundo actor reflexivo en este ámbito que adoptar lo primero que se vea en 2024. Esperamos que la gente empiece a aceptar la IA generativa y que algunos de sus componentes se incorporen a sus programas de terceros a medida que 2023 vaya llegando a su fin. Somos muy conscientes de que la gente suele preocuparse por tres áreas fundamentales. En primer lugar, la alucinación de la IA es que esta me diga con confianza algo que es evidentemente falso y, por supuesto, eso es algo negativo en lo que respecta a la gestión de riesgos. El sesgo cognitivo es que la IA me diga esto debido al hecho de que está siendo entrenada con un modelo de datos que en realidad no es adecuado para mis necesidades. En ese caso, puede que no se trate de una alucinación.

Quizás solo lo diga porque eso es lo que le han enseñado. En concreto, empezamos a aplicar la IA a grandes conjuntos de datos, como Internet. Por suerte, estoy seguro de que no creo todo lo que leo en Internet. Y probablemente, lo más habitual, como lo que oímos en 2023, es la seguridad de los datos. A la gente le preocupan todas estas tecnologías de IA, pero al final, no voy a darles mis datos, lo cual es un punto de partida muy válido. Prevemos que en 2024 la gente se sentirá más cómoda con estos tres criterios, ya que las organizaciones, los proveedores y las tecnologías empezarán a desglosar realmente los grandes modelos lingüísticos y la IA generativa y a crear algo que sea realmente adecuado. Y la forma en que va a funcionar es que empezaremos a ver cosas como los mismos controles y expectativas que vemos en cualquier otra tecnología de la pila tecnológica aplicados a las capacidades de la IA generativa. Así que estamos hablando de análisis automatizados de vulnerabilidades en los LLM, detección de anomalías en el conjunto de datos, análisis de seguridad basados en los resultados, recompensas por errores de inyección de comandos, etc. Formación del personal sobre cómo y dónde se puede utilizar. Y, por supuesto, reconstrucción forense cuando las cosas salen mal. Nada muy diferente de lo que se aplicaría en última instancia a cualquier tecnología de su pila tecnológica, es lo que esperamos para 2024. Y algo que sacamos en claro de esto es el hecho de que, a medida que la gente se sienta más cómoda con lo que la IA generativa va a hacer por ellos, es cuando podrán empezar a comprender realmente cuáles son los beneficios y entonces empezaremos a ver cómo eso avanza hacia 2024. Y algunas de las cosas que esperamos ver en 2024 en Genai, desde nuestra perspectiva, tienden a variar dependiendo de a quién nos refiramos. En cuanto a los terceros, por supuesto, siempre están ahí para ayudarnos y hacernos la vida un poco más fácil. Esperamos que se utilicen más herramientas como el procesamiento del lenguaje natural (NLP) para evaluar la población de mapeo de documentos. Ofrecerles asesoramiento sobre tendencias y decirles cómo les va en comparación con sus compañeros es sin duda algo útil que les anima a participar en primer lugar. Y luego está la traducción de idiomas.

Por lo tanto, una combinación de IA generativa y PLN hará que estas capacidades tangibles estén presentes en nuestros programas de terceros en 2024. Pasando a otro perfil, si nos fijamos más en algunos de los profesionales, ellos esperarán algo ligeramente diferente. Lo que veremos en 2024 es que los profesionales empezarán a aprovechar cosas como el análisis de sentimientos. Bien, ¿qué me está diciendo realmente este proveedor? ¿Qué me dice este informe? Detección de contradicciones. ¿Hay algo que contradiga ese amplio perfil que hemos creado cuando empezamos a hablar de nuestra predicción previa, es decir, los modelos de convergencia de datos y los chatbots? Entonces, ¿cómo pueden la IA y la IA generativa ayudarme realmente a automatizar mis procesos y eliminar pasos para, finalmente, utilizar cosas como el análisis de sentimientos para generar informes de riesgos? Así que todos se centran en la eficiencia y la coherencia en las actividades del programa. Los flujos de trabajo que realizan. Y cuando pasemos a este ejecutivo tan feliz de aquí en 2024, ¿por qué van a estar felices? Vamos a ver cada vez más cosas como el asesoramiento sobre programas. Un poco como el asesoramiento sobre tendencias que ofrecemos a terceros. Vamos a ver a ejecutivos que intentan comprender cómo se compara su programa con el de sus compañeros. Un poco como las evaluaciones de madurez. Veremos la detección proactiva de eventos. Ya sabes, hemos visto este problema geográfico al examinar tu conjunto de datos. Ve a tratar con estos 70 u 80 proveedores. Deja que reaccionen. El mapeo de cumplimiento, por supuesto, cómo se comportan frente a su panorama de cumplimiento y normativo, también lo abordaré a su debido tiempo, así como una visión más amplia de sus pares, tanto como los programas de asesoramiento que se centran en sus flujos de trabajo y procesos, siendo capaces de darles una mejor visión de sus pares basada en su demografía vertical, sea cual sea, ayudándoles a comprender si están en la mitad del grupo, y ese ha sido un tema recurrente históricamente, que es que los ejecutivos no quieren estar atrás, ni necesariamente en la vanguardia, dependiendo de su sector. Sí. Quieren estar saludablemente en el medio, aplicando buenas prácticas, no las mejores prácticas, sino buenas prácticas en general.

Y la IA generativa podrá respaldarles en la evaluación comparativa. Por lo tanto, esperamos que la IA generativa comience a introducir una buena parte de estas tecnologías en 2024. Inicialmente, esperamos que gran parte de la atención se centre en los grandes modelos de lenguaje externos que, en última instancia, envían datos al exterior. Esto tiene algunas implicaciones de seguridad relacionadas con el elemento de seguridad de los datos, pero a medida que avance el año, prevemos que habrá cada vez más modelos localizados. Ahora bien, esto podría utilizar cosas como AWS Azure, etc., y estar localizado y retenido en esos entornos, pero veremos la llegada de un mejor procesamiento y actividades de IA generativa en entornos de control con conjuntos de datos controlados. Y ese es el punto en nuestra mentalidad en el que comenzaremos a evolucionar desde estas expectativas y desilusiones hacia mesetas graduales de productividad. Y esperamos que probablemente en las últimas etapas de 2024, cuando veamos nuestras predicciones aquí. Así que, más allá de la IA generativa, como nuestra sexta predicción, vamos a pasar ahora a la séptima, que es la normativa. Este es un tema recurrente para nosotros y estoy seguro de que también para ustedes, ya que cada año hacemos la predicción de que habrá más normativa. Es una apuesta segura. No creo que sea algo que nadie en esta conferencia quiera oír. Pero lo que esperamos es una gestión más inteligente de las regulaciones. Eso es lo que va a cambiar y lo que va a tener un impacto realmente dinámico en el proceso o programa de TPRM. Lo que quiero decir con eso es que es relativamente desmoralizador. Hay gente a la que le encanta, pero a mí me resulta relativamente desalentador. Pero cuando empiezas a fijarte en las siglas y abreviaturas asociadas a las regulaciones que hay y que están evolucionando durante el resto del año y el año que viene, como he mencionado con cosas como las regulaciones contra el soborno y la corrupción que están saliendo en Europa, ya sabes, esperamos que la gente quiera simplificar la aplicación de estas regulaciones y la forma en que lo están haciendo es utilizando la supervisión pasiva o sus evaluaciones, querrán poder cruzar fácilmente y de forma sencilla las nuevas regulaciones.

Una de las cosas más comunes que hemos visto en 2023 es que la gente nos pregunta a nosotros y a nuestro equipo de contenido: «Oigan, va a salir esta nueva revista, ¿qué van a hacer al respecto?». La gente no quiere tener que ser proactiva para preguntar esto. Buscan fuentes, la comunidad que básicamente les aconseje y les diga que en tres meses va a salir una nueva versión de las regulaciones anticorrupción. Esto es lo que hay que tener en cuenta y así es como su programa va a cumplir o no con la normativa. Y la forma en que esto va a funcionar en 2024 es que habrá mecanismos más proactivos para poder aplicar retroactivamente estas normas a su conjunto de datos. La nueva normativa sale mañana. Sabemos que hay 47 criterios únicos que debemos poder rastrear utilizando algunos de los mecanismos de los que ya hemos hablado hoy. La gente revisará rápidamente y de forma retroactiva cómo se encuentra su panorama actual en relación con ello. La gente no debería tener que enviar reevaluaciones ni realizar un nuevo seguimiento pasivo. No deberían tener que sentarse y crear minuciosamente nuevos controles en sus marcos en su mayor parte. Se espera que, en última instancia, puedan automatizar parte de ese proceso y que la automatización del cumplimiento normativo, desde la perspectiva de identificar el cumplimiento o el incumplimiento, vaya a cobrar cada vez más importancia de aquí a 2024. Si no es así, únete a mí el año que viene y deja un comentario en el chat. Así que, solo un aviso para las personas que estén interesadas en el aspecto normativo. Eh... Prevalent tiene un manual de cumplimiento de gestión de riesgos de terceros. Se trata de una guía de referencia sobre algunos de los marcos y normativas más comunes que existen en la actualidad. Eh... si no lo han visto antes, es un material bastante extenso. No duden en ponerse en contacto con nosotros. Estaremos encantados de compartirlo con ustedes y hablarles con más detalle al respecto. Pero es una gran guía de referencia y, sin duda, algo que, como saben, seguimos desarrollando a medida que surgen nuevas normativas. Así que las normativas son un requisito omnipresente y constante en nuestras vidas.

Pero eso está relacionado con el ciclo de vida más amplio, porque tenemos diferentes personas que nos piden que podamos realizar un seguimiento de estas regulaciones en el mismo programa. Y eso está relacionado con nuestra octava predicción. Nuestra octava predicción se centra en la integración y la sincronicidad. Cuando practiqué esto antes, me costó varios intentos decir «sincronicidad». Así que el hecho de haberlo conseguido a la primera me hace sentir muy orgulloso de mí mismo. Gracias por fijarte en eso. Pero la integración y la sincronía, desde esta perspectiva, están impulsadas por este ciclo de vida. Sabéis, tenemos un ciclo de vida de abastecimiento y selección, admisión, riesgo inherente, etc. Necesitamos unir los puntos entre estos diversos componentes. Esto se está volviendo cada vez más difícil porque, cuando empiezas a fijarte en los flujos de trabajo estándar, y luego esto de aquí se refiere a un flujo de trabajo estándar muy concreto, ¿es importante el proveedor? ¿Qué hacemos? Hacemos un seguimiento. Analizamos los resultados. Enviamos evaluaciones. Hacemos un informe con la empresa. Analizamos esos resultados. Elaboramos informes. Validamos los informes. Incluso hacemos auditorías in situ, etc. Sí, esto es solo un subcomponente de este ciclo de vida más amplio. Ya sabes, es un componente relativamente intenso, pero solo es un subcomponente. Cuando empezamos a analizar este tipo de flujos de trabajo, cuando los unes todos, cuando unes todos los puntos, ves que, en algunos casos, hay múltiples tecnologías que realizan diferentes tareas para diferentes partes de la empresa. Ya sabes, ya sea el software de compras o las finanzas para la facturación, o si se trata del SLA de rendimiento y los componentes de resiliencia operativa. Esperamos una demanda cada vez mayor de integración entre sistemas adyacentes y un factor que impulsa esto es el hecho de que se está viendo madurar el espacio de mercado. Las tecnologías están madurando a medida que introducen cosas como automatizaciones y la gente ha empezado a construir cosas como sus universos de proveedores y paisajes en tecnologías específicas. Quieren poder replicar eso en todos los demás para obtener el mejor valor en toda la pila.

Hemos observado personalmente un aumento considerable en la demanda de integraciones y conexiones entre sistemas. No esperamos que eso desaparezca. En años anteriores, hemos hablado de la convergencia de tecnologías en sistemas únicos y, para programas menos definidos, sin duda es un paso lógico a dar. Sin embargo, en el caso de las grandes empresas multidisciplinares con flujos de trabajo y procesos bastante establecidos, vemos cada vez más expectativas de que el ciclo de vida del TPRM se integre en toda la tecnología. Así que quiero pasar a nuestra novena observación y predicción, que es la capacidad continua. Ya he mencionado varias veces la supervisión pasiva y, cuando se empieza a analizar la supervisión pasiva, se puede segmentar en aspectos como el espacio de seguridad informática, los conjuntos de datos de supervisión empresarial de los que hemos hablado y, por supuesto, los conjuntos de datos financieros y legales como un subconjunto. En algunos casos, todos ellos tienen iteraciones casi diarias. Es de esperar que cosas como las quiebras no sean diarias, pero cuando se empiezan a analizar, hay ciertos datos de los que se querrá tener un resumen diario. Y lo que estamos viendo es una demanda cada vez mayor de información lo más cercana posible al tiempo real sobre cosas como infracciones o problemas que están surgiendo en el panorama de los proveedores. Anteriormente, era cibercéntrico en ese sentido. Pero de cara a 2024, esperamos que se preste cada vez más atención a la información continua sobre los negocios, las finanzas y los aspectos legales, impulsada por la demanda de adquisiciones. Y algo que predecimos relacionado con esto es que se empezarán a crear capacidades de supervisión continua muy profundas. Por ejemplo, con Prevalent, que cuenta con 500 millones de perfiles y 84 000 millones de eventos de supervisión empresarial diferentes en 900 000 sitios diferentes que se supervisan en cualquier momento, se está creando una gran cantidad de datos a partir de esa capacidad continua. Por lo tanto, cuando antes hablábamos de nuestra predicción sobre el análisis avanzado y agregado, esto va a contribuir a ello a medida que empecemos a introducir más y más puntos de datos a través de esta capacidad continua que, a su vez, generará análisis cada vez más avanzados. Es casi una profecía autocumplida.

La gente quiere información diaria, lo que significa que obtienen más eventos, una cobertura más amplia, y eso se traducirá en nuestras otras predicciones con el tiempo. Pasemos a nuestra décima y última predicción del día, que es el contexto. El contexto siempre ha sido muy importante, pero muy difícil de agregar en todo el panorama de terceros. Así que, en este caso, el contexto tiende a significar un par de cosas para nosotros. Se trata de comprender el riesgo inherente o el perfil y el desglose, quién es el proveedor, qué está haciendo, por qué lo está haciendo, cómo lo está haciendo, todos esos criterios que nos ayudan en última instancia a dimensionar y calificar a nuestros terceros en consecuencia. La gente está empezando a esperar una mejor estructura a lo largo del ciclo de adquisición para completar esto por adelantado. Lo que quiero decir con esto es que hay muchos datos, perdón, entornos e inventarios de terceros que carecen de esta información. Cada vez más funciones de adquisición están capturando estos datos en el ciclo de adquisición o en el momento de la renovación para alimentar eso, y eso es porque están consumiendo datos. Así que en 2024 veremos a más y más personas utilizando estos datos y veremos cómo las compras impulsan la recopilación de estos datos en el futuro, lo que a su vez dará lugar a una predicción para 2024 que es más pragmática en lo que respecta a la gestión de estos entornos. Por ejemplo, supongamos que tenemos 15 000 proveedores en nuestro ecosistema. Podríamos tener 15 000 ejercicios de perfilado y tarado. Eso debería reducir el volumen a unos 4000. Eso podría deberse a que los proveedores críticos necesitan evaluaciones interactivas. Puede que haya un subconjunto más pequeño que requiera una supervisión continua basada en los resultados de eso. Eso podría reducirse de nuevo en función de aquellos que necesitan un seguimiento iterativo de la gestión de riesgos. Y luego un subconjunto más pequeño que requiere una gestión de eventos regular y coherente, ya que son realmente críticos para nosotros. Esto continúa, como es de esperar, con cosas como pasos de validación y, en algunos casos, incluso con auditorías in situ al final del proceso, y luego una cierta cantidad de días cero ad hoc con los que tenemos que lidiar. Pero deberíamos ver este tipo de pirámide con nuestros proveedores.

Sabéis que los días de 15 000 significan que 15 000 deberían desaparecer en 2024. Esperamos que el ejercicio de perfilado y desglose nos permita empezar a construir estos paisajes de terceros, perdón, de terceros, y los inventarios con el tiempo, y esto contribuye realmente a los cuartos terceros, como he mencionado anteriormente, lo cual es una expectativa que existe desde hace unos años, que es que llegaré a los cuartos terceros. No creemos que en 2024 los cuartos terceros vayan a estar totalmente indexados y evaluados en múltiples niveles. Simplemente no es pragmático. Pero lo que vamos a empezar a ver es que la gente reconoce que eso es un problema y va a empezar a centrarse en objetivos concretos de cuartos. Lo que queremos decir con eso es: ¿cuáles son nuestros proveedores realmente críticos? ¿Hay cuartos con un riesgo de concentración concreto que debamos tener en cuenta y hay algunos que afectan a nuestras políticas de privacidad? Y es posible que veamos un nivel más profundo si ese subconjunto de cuartos está dentro del alcance de alguna diligencia debida básica. Y, en algunos casos, solo veremos a terceros, es decir, la expectativa de que los terceros lo hagan en nuestro nombre, que es más o menos la situación actual, pero deberíamos ver un trabajo más específico de cuartos en 2024. En resumen, porque hasta ahora hay mucha información en 51 minutos, algunas de las predicciones clave que hacemos aquí son que la financiación de TPRM seguirá siendo una apuesta segura. Veremos una convergencia de programas en la que múltiples propietarios de negocios de diversas disciplinas trabajarán juntos. Veremos esa convergencia de datos a medida que se amplíen los conjuntos de datos. Veremos cómo esos conjuntos de datos se amplían y se incorporan a análisis avanzados y agregados, lo que incluirá el análisis del comportamiento a finales de año. El procesamiento del lenguaje natural (NLP) se convertirá en un contribuyente habitual a nuestros procesos de automatización y estandarización.

Y veremos cosas como la incorporación de la inteligencia artificial a nuestras automatizaciones, regulaciones más proactivas a la hora de adaptarla a nuestro panorama actual, la continuación de la integración en tecnologías adyacentes, la capacidad de supervisar a estos proveedores lo más cerca posible del tiempo real y la capacidad de ser pragmáticos en nuestro análisis y gestión de proveedores. Así que, en definitiva, lo que vamos a ver es que la buena base que se ha construido en años anteriores evoluciona de cara a 2024 con la llegada de cosas como estas automatizaciones aumentadas, mayores conjuntos de datos para proporcionar mejores informes en tiempo real, menos trabajo en los que no importan. Por lo tanto, dimensionar correctamente nuestra población de proveedores y proporcionar a las personas adecuadas los paneles de control y los informes personalizados que realmente les interesan. Voy a dar un respiro a mi voz durante un minuto y pasaremos a una breve descripción general del encantador Scott Lang sobre algunos de los componentes que podrían ser útiles en este caso. Scott.

Scott Lang: Muchas gracias, Alistair. Ahora voy a compartir mi pantalla. Ya está. Genial. Ya está. Eh, amigos, gracias por acompañarnos durante estos 53 minutos en los que Alistair nos ha presentado un montón de excelentes prácticas recomendadas, predicciones y reflexiones que podemos utilizar para formular nuestros planes de TPR de cara al nuevo año. Sé que estamos en la temporada de elaboración de presupuestos, previa a la temporada de verificación. Quizás ya hayamos salido de ella. Están empezando a alinear proyectos. Es bueno tener este nivel de comprensión de las tendencias y movimientos clave del mercado para ayudarles a informar ese proceso. Lo que pensé hacer es dedicar unos minutos a identificar, desde nuestra perspectiva, lo que puede serles más útil, y luego pasaremos a las preguntas. Pero, desde nuestro punto de vista, hay tres cosas que deberían querer lograr en su programa de gestión de riesgos de terceros. La primera es obtener los datos que necesitan para tomar mejores decisiones.

Es probable que tengas silos de información, diferentes departamentos, diferentes herramientas, quizá estés utilizando hojas de cálculo u otros procesos manuales deficientes para recopilar información sobre los controles internos de tus proveedores externos. Y tan pronto como recopilas esa información, queda desactualizada, sin posibilidad de mantenerla realmente actualizada entre esas evaluaciones. Y eso es todo un reto. Entiendo que el segundo gran objetivo que las empresas buscan alcanzar en materia de riesgo de terceros es derribar esos silos y mejorar la eficiencia del equipo. Viste una diapositiva que Alistister mostró al principio de la presentación en la que se decía que, aunque el equipo de seguridad de la información suele ser el responsable de ejecutar las evaluaciones de riesgo de terceros, cuando la ciberseguridad es el factor principal, vemos que el equipo de adquisiciones es el que controla la relación. Así que, si tienes al ejecutivo y al propietario, que quizá estén en desacuerdo entre sí, utilizando diferentes herramientas, diferentes procesos, diferentes sistemas, sin comunicarse entre sí, sin interactuar, ya sabes, eso no es una receta para el éxito en el futuro. Ese nivel de integración y coherencia en toda la organización es el resultado deseado y te ayuda a alcanzar el tercer resultado, que es evolucionar y ampliar tu programa con el tiempo. Así que obtener buenos datos, derribar los silos entre equipos para ayudarles a trabajar juntos de manera más eficiente y evolucionar y ampliar los programas con el tiempo. Eso es precisamente lo que esperamos lograr con su programa de gestión de riesgos de terceros, si sabe que podemos ayudarle a proporcionar una solución. Nuestra visión del riesgo de terceros es que vemos riesgos únicos en cada etapa del ciclo de vida de los terceros. No se trata solo de enviar una evaluación, obtener algún tipo de puntuación de riesgo, hacer una selección, aplicar algunas medidas correctivas y luego seguir adelante. Y es más que una simple diligencia debida previa al contrato. Es un proceso coherente que existe desde el momento en que se busca y se selecciona un nuevo proveedor hasta el momento en que se termina la relación y se rescinde el contrato.

Una vez más, vemos riesgos únicos en cada una de estas etapas y podemos ayudar a automatizar el proceso de descubrir esos riesgos, hacer algo al respecto, cerrarlos y, en última instancia, reducir el riesgo residual para su empresa. Al final, se trata de tres cosas para usted. La primera es ofrecerle un proceso más sencillo y rápido para incorporar a un nuevo proveedor. Proporcionarle una única fuente de información veraz y un proceso para gestionar ese proveedor en toda su empresa. Optimizar el proceso y cerrar las brechas y la cobertura de riesgos donde pueda haberlas ahora y, a continuación, unificar su equipo a lo largo del ciclo de vida. No voy a detenerme en esto. Se trata simplemente de seis categorías de riesgos que Prevalent le ayuda a detectar y gestionar en la plataforma, ya sea mediante una evaluación in situ en una plataforma o utilizando datos de supervisión de riesgos de terceros que están correlacionados con las respuestas de la evaluación. Al fin y al cabo, lo que ofrecemos es una combinación de tres cosas. La primera es la ayuda de expertos. Las personas, ¿verdad? Si lo desea, nuestro grupo de servicios gestionados puede hacer el trabajo duro por usted, desde la incorporación de proveedores, la realización de evaluaciones, la aplicación de medidas correctivas y la gestión a lo largo del ciclo de vida, o bien puede utilizar la plataforma por su cuenta. Por supuesto, el segundo componente clave de nuestro conjunto de soluciones es la riqueza del conjunto de datos. Tenemos más de medio millón de fuentes de información individualizadas y medio millón de perfiles diferentes integrados en el sistema a los que puede acceder de forma inmediata en múltiples tipos de riesgo diferentes. Y, en tercer lugar, todo ello se encuentra alojado en la plataforma para ayudarle a realizar los mejores análisis, informes y flujos de trabajo de su clase y, en última instancia, alcanzar cierto nivel de correcciones para sus clientes o proveedores. Así que, muy rápidamente, solo quería ofrecerles esta visión general. Voy a pasarle la palabra a Melissa, que abrirá el turno de preguntas y, a continuación, daremos por concluida la sesión. Adelante, Melissa.

Melissa: Perfecto. Gracias, Scott. Voy a lanzar nuestra segunda y última encuesta. La verán aparecer en dos segundos. Tengo curiosidad por saber si están en la misma situación de establecer ese TPR y ese programa. Sé que Scott habló sobre la elaboración de presupuestos. Ahora la gente está fijando eso para el próximo año. Así que tal vez ese sea su caso. Sean sinceros. Probablemente nos pondremos en contacto con ustedes en las próximas 24 horas, si no antes. Pero sí, tenemos algunas preguntas. Sé que hay algunas en el chat que he estado intentando responder, pero también hay algunas en el cuadro de preguntas y respuestas. Alistister, ¿quieres elegir la que te parezca más valiosa? Sé que tenemos un minuto.

Alistair Parr: Sí, claro. Hay un par de cosas que, en mi opinión, se relacionan con el comentario sobre la gestión de riesgos de terceros como una distinción que está evolucionando hacia la gestión del ciclo de vida de terceros. Así que, echando un vistazo a un par de ellas, y sin duda hay algunas, gracias a todos. Pero, ¿creéis que el flujo de trabajo de TPRM equivale a incluir la gestión de proveedores? En parte sí, diría que hay un solapamiento entre ambos. Así que, para 2024, la expectativa es que haya una evolución. Verán más gestión del ciclo de vida de los proveedores como componente. La gestión de riesgos seguirá existiendo y eso no significa necesariamente que los equipos de información y gestión de riesgos vayan a controlar todo el proceso. Solo significa que verán cierto grado de sincronía entre los equipos que utilicen el mecanismo de participación que mejor funcione en ese momento. Los equipos de gestión de riesgos suelen necesitar un nivel de detalle inferior al que tienen otros equipos en lo que respecta a la clasificación de riesgos y el seguimiento continuo desde esa perspectiva. Pero veremos cómo la gestión de riesgos de terceros seguirá siendo la gestión del ciclo de vida de terceros y cómo las dos líneas se irán difuminando con el tiempo. Sin duda, estamos viendo eso y esperamos que continúe. Son preguntas muy interesantes. Sé que se nos acaba el tiempo, así que te devuelvo la palabra, Melissa.

Melissa: Muy bien, perfecto. Es la hora en punto para todos. Quería darte las gracias, Alistar, por volver a aparecer, y a ti, Scott, por tu discurso final, como siempre. Si tienen alguna pregunta, pondré mi correo electrónico en el chat. Ahí lo tienen. También pueden utilizar la función de chat de nuestra página web, que me llega directamente a mí. Espero ver a algunos de ustedes en mis bandejas de entrada y quizá en el seminario web de la semana que viene. Cuídense, chicos. Gracias. Adiós.