Jelle Groenendaal y Bram Ketting brindan asesoramiento para implementar y mejorar la gestión de riesgos de terceros, presentando un enfoque de implementación de seis pasos y una lista de verificación de diez buenas prácticas.
En su último Informe de Riesgos Globales (2022), el Foro Económico Mundial destacó el mayor riesgo de interrupciones en la cadena de suministro a medida que las empresas subcontratan cada vez más procesos críticos a terceros y continúan digitalizando las cadenas de suministro. Como se indica en el informe: «La digitalización de las cadenas de suministro físicas crea nuevas vulnerabilidades porque esas cadenas de suministro dependen de proveedores de tecnología y otros terceros, que también están expuestos a amenazas similares, potencialmente contagiosas. Por lo tanto, la gestión del riesgo de terceros es cada vez más importante que nunca. En este artículo describiremos 10 buenas prácticas para implementar la gestión de riesgos de terceros (Third-party risk management o TPRM por sus siglas en ingles).
Enfoque de implementación de seis pasos
TPRM se define como el proceso de gestión de los riesgos introducidos en su organización por los vendedores, proveedores, contratistas, socios comerciales, alianzas, agentes y otras partes interesadas externas de su organización que proporcionan productos o servicios.
En pocas palabras, los siguientes seis pasos se pueden utilizar para implementar e iniciar el TPRM dentro de cualquier organización, independientemente de su sector o tamaño:
- Establecer una base: el primer paso hacia la implementación de la gestión de riesgos de terceros incluye la asignación de un líder que será responsable de la implementación del TPRM, la formulación de una visión y estrategia alineadas con las empresas (por ejemplo, ¿cuáles son los objetivos del TPRM?), la definición del alcance (por ejemplo, ¿qué dominios de riesgo estarán en el alcance?), la asignación de propiedad (¿quién será responsable y responsable del TPRM?), desarrollar un modelo operativo (por ejemplo, ¿desea ejecutar el TPRM de forma centralizada o decentralizada?), establecer una política y los procedimientos correspondientes (¿qué cambios de gobernanza se necesitan?) e implementar una herramienta (por ejemplo, ¿cómo asegurarse de que el TPRM se lleve a cabo de manera eficiente y efectiva?).
- Definir requisitos: el segundo paso consiste en definir los requisitos que la gestión de riesgos de terceros debe tener en cuenta. Se pueden distinguir dos tipos de requisitos: requisitos internos (por ejemplo, políticas internas, decisiones comerciales) y requisitos externos (por ejemplo, certificaciones regulatorias, industriales, de sostenibilidad y de cumplimiento).
- Crear un inventario de terceros; el tercer paso consiste en crear una visión general de todos los terceros y contratos. Algunas organizaciones podrían aprovechar los inventarios existentes de las adquisiciones o las compras estratégicas. Otras organizaciones no tienen una sola fuente de verdad y necesitan construir esto desde cero. Debe asegurarse de asignar propietarios de negocios y personas de contacto por tercero y por contrato.
- Priorizar a terceros: elcuarto paso incluye la priorización de terceros mediante la asignación de un perfil de riesgo a sus compromisos con terceros. Definir un perfil de riesgo por tercero y contratos le ayuda a determinar (a) qué terceros estarán en el alcance de las evaluaciones de diligencia debida y (b) en qué orden deben evaluarse los terceros o contratos.
- Realizar evaluaciones de diligencia debida: el quinto paso consiste en realizar las evaluaciones de debida diligencia. Puede utilizar varios tipos de evaluación, que van desde autoevaluaciones, auditorías o proveedores de datos de terceros. Desde una perspectiva de contenido, hay varias opciones. Puede confiar en cuestionarios de evaluación de mejores prácticas, solicitar declaraciones de cumplimiento o desarrollar su propio cuestionario (preferiblemente basado en un marco reconocido como ISO o NIST). Las evaluaciones de debida diligencia se pueden realizar antes del contrato, durante la renovación del contrato, después de un evento externo (por ejemplo, incidente, cambio regulatorio), periódico, basado en el riesgo o continuo.
- Seguimiento y seguimiento: elsexto y último paso consiste en garantizar que todas las evaluaciones se completen, analicen y comuniquen a las partes interesadas identificadas. Se inicia un seguimiento de los riesgos que se consideran fuera de tolerancia.
Diez buenas prácticas para implementar la gestión de riesgos de terceros
- Formular una visión clara y convincente. Una visión lo guiará en la configuración y es clave para la aceptación de la administración.
- Involucre a las partes interesadas internas, como el riesgo y el cumplimiento, la seguridad, las adquisiciones y los actores comerciales, desde el inicio del proceso de diseño e implementación de la gestión de riesgos de terceros. El TPRM es un proyecto importante y, por lo tanto, es necesario que todas las partes acepten.
- Considere un modelo centralizado de gestión de riesgos de terceros que facilite la evaluación de riesgos en nombre y con aportes de la empresa. Un modelo centralizado impulsa la estandarización y suele ser más rentable.
- Asegúrese de que el mandato para la gestión de riesgos de terceros esté bien documentado en la política y los procedimientos correspondientes. Los documentos de política nuevos o actualizados que reflejen el modelo operativo del TPRM objetivo son indispensables para que el TPRM sea eficaz.
- Utilice herramientas dedicadas de gestión de riesgos de terceros. El software especializado está completamente diseñado para gestionar riesgos de terceros; ¡y elimina el dolor de cabeza de la hoja de cálculo!
- Diferenciar entre terceros y contratos. Como puede consumir servicios totalmente diferentes de un proveedor, se recomienda crear un inventario con terceros (es decir, catálogo de terceros), así como contratos (es decir, catálogo de contratos).
- Asigne un perfil de riesgo a sus terceros y contratos. Al priorizar entre sus terceros y contratos, puede determinar qué evaluar y en qué orden. Esto es particularmente útil si tiene una gran cantidad de proveedores.
- Haga que su evaluación de debida diligencia dependa del perfil de riesgo, el tipo de servicio, el valor del contrato y otros indicadores. No querrás hacer las mismas 200 preguntas a un pequeño proveedor al igual que una multinacional.
- Ajuste el tiempo de evaluación al perfil de riesgo de sus terceros y contratos. En pocas palabras, es posible que desee evaluar a los proveedores críticos con más frecuencia que a los “no críticos”.
- Comience a pensar en el proceso de recopilación, análisis y seguimiento de datos antes de enviar las primeras evaluaciones de debida diligencia. Una vez más, las herramientas especializadas pueden ser beneficiosas para procesar de manera segura los resultados de la evaluación, realizar un análisis inicial de las respuestas proporcionadas y permitirle iniciar un seguimiento.
LOS AUTORES
Jelle Groenendaal y Bram Ketting son socios gerentes de RiskWork. Bram también es director general de 3rdRisk, una plataforma SaaS de TPRM.