A medida que las organizaciones dependen cada vez más de otros para obtener suministros, servicios y experiencia, son más las que se preguntan qué es la gestión de riesgos de terceros y cómo hacerlo bien.
Subcontratar a terceros puede ahorrar a tu organización tiempo y dinero.
Pero los terceros conllevan su propio conjunto de riesgos, que se convierten en tus riesgos.
Un paso en falso de un tercero puede tener consecuencias desafortunadas para las operaciones de tu empresa, tus clientes y otras partes interesadas.
Yendo un paso más allá, es probable que tus proveedores trabajen con sus propios proveedores, que a su vez tienen sus propios proveedores, y así sucesivamente, añadiendo riesgo a tu organización en todos los niveles.
Y un sólido programa de gestión de riesgos de terceros -o GTRP- es un elemento esencial de la estrategia general de gestión de riesgos de una organización.
Tipos de riesgos de terceros
Los riesgos de terceros se dividen principalmente en las siguientes categorías:Riesgo estratégico. Tu organización podría estar en peligro si las acciones o decisiones de terceros no apoyan los objetivos de tu organización.
¿Te ayudarán tus proveedores a alcanzar tus objetivos estratégicos, o se interpondrán en tu camino? Riesgo de cumplimiento. Podrías correr riesgos si tus proveedores no cumplen las leyes, normas o reglamentos gubernamentales o del sector que se aplican a los productos y/o servicios que proporcionan a tu organización. Los aspectos medioambientales, sociales y de gobernanza (ASG) son un riesgo de cumplimiento emergente. Las prácticas empresariales relativas a la sostenibilidad del mundo, los derechos humanos y las prácticas/ética empresariales han sido objeto de un escrutinio cada vez mayor por parte de clientes, reguladores, empleados e inversores.
Aunque los requisitos de información y cumplimiento en materia de AS G están actualmente fragmentados, las organizaciones con visión de futuro están tomando medidas para seguir y gestionar sus prácticas y progresos en materia de ASG, a fin de prepararse para futuros acontecimientos. Riesgo operativo. Podrías estar en riesgo si un tercero tiene un fallo con sus procesos internos, personas o sistemas.
Estos fallos pueden impedir tu capacidad para cumplir los plazos, las expectativas y otros parámetros de rendimiento.
Como cualquier organización, los terceros también están a merced de riesgos externos como catástrofes naturales, actos de terrorismo y pandemias.
Aunque estos riesgos escapan al control de un tercero, los planes de contingencia para mantener la continuidad de la actividad deben tenerse en cuenta en tu programa de GTPR. Riesgo financiero. Los problemas financieros de un tercero -perder una línea de crédito, endeudarse demasiado, declararse en quiebra, etc.- pueden repercutir en tu organización en forma de aumento de costes o pedidos incumplidos, lo que puede afectar negativamente a tu cuenta de resultados. Riesgo de ciberseguridad. Podrías correr el riesgo de sufrir una violación de datos o un ciberataque si tus proveedores son poco estrictos en sus normas de ciberseguridad.
Los terceros que plantean los riesgos más graves son los que tienen acceso a tus sistemas internos, finanzas o datos confidenciales como la IPI de clientes y empleados. Cuando un tercero tiene acceso a este tipo de información, querrás asegurarte de que estos proveedores cumplen continuamente tus protocolos de seguridad. Riesgo para la reputación. Tu reputación está en juego si sufres un ciberataque, una interrupción de la cadena de suministro, una disminución de la calidad de tus productos/servicios o cualquier otro incidente que afecte a clientes y partes interesadas.
Aunque el responsable sea un tercero, es tu reputación la que resultará dañada. Riesgo geopolítico. El 68% de los directivos afirma que los riesgos geopolíticos tienen un impacto muy alto en su empresa.
La guerra en Ucrania, los cierres relacionados con pandemias en China y la lenta respuesta a los problemas sociales son sólo algunos de los riesgos geopolíticos que siguen limitando el acceso al talento, los bienes y los servicios de las empresas de todo el mundo.
Considera dónde están ubicados tus proveedores y evalúa de cerca el potencial de conflictos, aranceles, sanciones y demás para comprender tus riesgos y dónde se justifica una mitigación adicional.
Cómo protegerte de los riesgos de terceros
La gestión del riesgo de terceros requiere una supervisión constante para garantizar que las estrategias y los planes de corrección son adecuados y están alineados con tu programa general de gestión de riesgos.
He aquí seis pasos para afinar tu programa TPRM:
1. Busca a los afines.
Busca terceros que tengan excelentes credenciales, sólidos historiales financieros, fuertes controles de seguridad y valores compartidos.
Dedica tiempo a desarrollar relaciones y crear confianza con tus proveedores externos.
Mantén conversaciones sinceras sobre tus requisitos y expectativas, y luego detállalos en tus contratos.
2. Conoce con quién trabajas.
Mantén una base de datos completa de todos los terceros, los productos/servicios que prestan y las áreas de riesgo potencial.
3. Realiza evaluaciones periódicas.
Utiliza cuestionarios detallados para evaluar los riesgos de tus proveedores, y haz un seguimiento de sus respuestas y de las medidas de seguimiento.
4. Clasifica a tus proveedores.
Calcula una puntuación de riesgo y utilízala para clasificar a tus terceros en categorías de riesgo alto, medio y bajo, a fin de priorizar las acciones.
Los proveedores de alto riesgo -como los proveedores y distribuidores de productos, los servicios informáticos en la nube o los servicios de facturación electrónica- deben reevaluarse con más frecuencia y detenimiento que los proveedores de bajo riesgo, como los consultores de marketing.
5. Evalúa el acceso a datos sensibles.
Asegúrate de que tus proveedores tienen acceso a la información que necesitan para realizar su función y nada más.
6. Tener un circuito de retroalimentación.
Tus relaciones con terceros son dinámicas, y es importante reevaluar periódicamente su situación financiera, operativa, de seguridad y de cumplimiento para descubrir cualquier riesgo nuevo o cambiante, de modo que puedas hacer los ajustes necesarios.
Muchas empresas dependen de miles o decenas de miles de proveedores, cualquiera de los cuales podría causar daños.
Proteger a tu organización de tantas amenazas es imposible de hacer eficientemente con hojas de cálculo.
Se necesita un software sofisticado que pueda rastrear cada aspecto de tus relaciones con terceros de principio a fin. El software de gestión de riesgos de terceros consolida la información importante en un lugar de fácil acceso.
Automatiza los procesos, estandariza las evaluaciones y agiliza la incorporación.
También puede enviar alertas y notificaciones automáticas si un proveedor incumple la normativa o experimenta otro cambio de estado.
¿Qué es la gestión de riesgos de terceros para tu organización?
Definir qué significa la GTRP y cómo gestionarla protegerá tu negocio, y te ayudará a construir relaciones de confianza a largo plazo basadas en el respeto mutuo y un propósito compartido.
Para más información sobre laGTRP, descárgate este libro de consulta de la OCEG, Prepararse para un cambio en la tecnología GTRP, y echa un vistazo al software de Gestión de Riesgos de Terceros de Riskonnect
