Los cinco pilares de una sólida gestión del riesgo de terceros

Las organizaciones de hoy en día son redes interconectadas de proveedores externos que incluyen no sólo a sus proveedores directos, sino a los proveedores de sus proveedores e incluso a los proveedores de sus proveedores. Si no tiene cuidado, un problema con cualquiera de estos proveedores podría acabar perjudicando a su organización. De hecho, un una encuesta reciente reveló que casi la mitad (44%) de los encuestados ha sufrido una violación de datos significativa que ha alterado su negocio, causada por un tercero.

A los clientes no les importa si un problema como una violación de datos se originó en usted o en un proveedor. Para ellos, todo es lo mismo, y la culpa es suya. Para gestionar eficazmente el riesgo de terceros, debe comprender sus riesgos de forma holística y gestionar su exposición en toda la empresa con una sólida estrategia de gestión del riesgo de terceros (TPRM).

He aquí cinco pilares de una sólida GTPR que le ayudarán a proteger su organización.

1. Identifique a sus proveedores.
   El primer paso para el éxito de cualquier programa de GTPR es saber quiénes son sus proveedores, qué servicios prestan y a qué información tienen acceso. Haga la debida diligencia por adelantado y contrate a proveedores externos que cumplan con sus normas y requisitos, y que operen de manera coherente con su forma de hacer negocios. Mantenga actualizada su lista de proveedores y contratistas. No puede protegerse de terceros que no conoce.
2. Evaluar los riesgos.
   Evaluar el estado -financiero, operativo, de seguridad, normativo, etc. - de cada uno de los proveedores con los que se trabaja es absolutamente fundamental para una buena estrategia de GTPR. Tienes que saber cuáles son sus puntos débiles para que no te pillen desprevenido en el futuro.
   Envíe cuestionarios personalizados a cada proveedor para recopilar datos críticos, como acuerdos, contactos, políticas, credenciales de acceso, etc. A continuación, el software puede puntuar y calificar automáticamente las respuestas, hacer un seguimiento de los problemas pendientes y verificar su resolución. También se puede complementar la información proporcionada por los propios proveedores con datos procedentes de expertos externos en calificación de riesgos, como los financieros y los cibernéticos. El uso de una variedad de métodos de evaluación le dará una visión clara y de 360 grados de la exposición al riesgo de cada relación con terceros, para que no acabe contratando a un nuevo proveedor, por ejemplo, sólo para descubrir que no tiene los recursos financieros para entregar un componente crítico prometido.
3. Priorice sus acciones.
   Una vez que haya evaluado y puntuado los riesgos de sus proveedores externos, clasifique cada uno de ellos en categorías -por ejemplo, riesgo alto, medio y bajo- para poder priorizar sus esfuerzos en función de los riesgos que suponen para su empresa.
   Los terceros que tienen acceso a información sensible, manejan transacciones financieras o realizan funciones críticas para sus operaciones suelen considerarse de alto riesgo. Los proveedores de riesgo medio pueden ser aquellos que tienen un acceso limitado a sus sistemas, y los de riesgo bajo serían aquellos que no interactúan con sistemas o datos críticos.
   Cuanto más alto sea el nivel de riesgo, más frecuentemente querrá reevaluar la capacidad de sus terceros para cumplir con sus obligaciones contractuales. Asegúrese de que dispone de planes completos de continuidad del negocio de cualquier proveedor clasificado como de alto riesgo o superior.
4. Resuelva los problemas pendientes e insista en la documentación.
   Usted podría tener que rendir cuentas si un proveedor infringe cualquier ley, norma o reglamento gubernamental o del sector. Asegúrese de que dispone de los procesos adecuados para evaluar y supervisar el cumplimiento continuo de la normativa legal correspondiente. Y mantenga una pista de auditoría detallada de toda la documentación. Para facilitar la identificación de problemas urgentes y priorizar las estrategias de corrección, considere la posibilidad de clasificar los problemas de terceros en categorías, como crítico (máximo de 3 días para resolver), alto (máximo de 30 días para resolver), medio (máximo de 120 días para resolver) y bajo (máximo de 160 días para resolver).
   El software TPRM también puede enviar automáticamente alertas de documentos que caducan. De este modo, si algo se sale de la norma, lo sabrá inmediatamente y podrá actuar con rapidez.
5. Supervise los cambios.
   Una buena gestión del riesgo de terceros no termina con la incorporación. Requiere una supervisión continua a lo largo de la relación para mantenerse al día con las condiciones cambiantes de cada proveedor, con sus propias prioridades y con el mundo en general. Vuelva a evaluar periódicamente a los terceros para identificar cualquier impedimento en su capacidad para cumplir con sus obligaciones contractuales y para asegurarse de que la asociación sigue alineada con las metas y los objetivos empresariales de su organización. Por supuesto, la supervisión sólo llega hasta cierto punto. Disponga de un plan de remediación para cualquier riesgo crítico y vulnerabilidad que surja.

Los problemas de los proveedores acaban convirtiéndose en sus problemas, pero con una estrategia, unos procesos y un software de TPRM eficaces, dispondrá de una base sólida para proteger a su organización de los pasos en falso de terceros

Para una visión práctica de la gestión eficaz del riesgo de terceros, vea cómo Stanley Steemer mejoró su programa TPRM para ampliar sus ingresos.

Si está listo para redactar una solicitud de propuestas para una solución de gestión de riesgos de terceros, descargue este lista de las preguntas más críticas relacionadas con la GTPRque puede modificarse fácilmente para adaptarse a sus necesidades.