Por: CP Iván Rodríguez. Colaborador de Auditool
La gestión de riesgos de terceros (Third-Party Risk Management -TPRM por sus siglas en inglés) es una forma de gestión de riesgos que se centra en identificar y reducir los riesgos relacionados con el uso de terceros (proveedores, socios, contratistas o proveedores de servicios). Está diseñada para dar a las organizaciones una comprensión de los terceros que utilizan, cómo los utilizan y qué salvaguardas tienen. El alcance y los requisitos de un programa de gestión de riesgos de terceros dependen de la organización y pueden variar ampliamente según la industria, la orientación regulatoria y otros factores. Aun así, muchas de las mejores prácticas de la TPRM son universales y aplicables a todas las empresas u organizaciones.
La expresión gestión de riesgos de terceros, también se conoce como la gestión de riesgos de proveedores (vendor risk management – VRM por sus siglas en inglés), gestión de proveedores, gestión de riesgos de proveedores o gestión de riesgos de la cadena de suministro. Sin embargo, la TPRM a menudo se considera la disciplina general que abarca todo tipo de terceros y todo tipo de riesgos.
Si bien el riesgo de terceros no es un concepto nuevo, los eventos recientes y una mayor dependencia de la subcontratación han puesto el tema en primer plano. Un evento como la actual pandemia de COVID-19, ha impactado a casi todas las empresas y sus terceros, sin importar el tamaño, la ubicación o la industria. Un gran número de los incumplimientos que se han producido en estos meses fueron causados por un tercero. Hay que recordar que la mayoría de las organizaciones modernas dependen de terceros para mantener las operaciones funcionando sin problemas. Por lo tanto, cuando sus terceros, vendedores o proveedores no pueden entregar, puede haber impactos devastadores y duraderos.
Por ejemplo, muchas organizaciones que confían en un proveedor de servicios para alojar un sitio web o una aplicación en la nube. Si el proveedor falla, el sitio web o aplicación también fallará. El caso de envío de mercancías es típico. Si los conductores de la compañía naviera o terrestre se van a la huelga, eso puede retrasar los tiempos de entrega esperados y provocar cancelaciones y desconfianza de los clientes, lo que afectará negativamente el resultado final y la reputación de la organización.
La subcontratación es un componente necesario en la conducción de un negocio moderno. No solo ahorra dinero a una empresa, sino que es una forma sencilla de aprovechar la experiencia que una organización podría no tener en casa. La desventaja es que, si no existe un programa adecuado de gestión de riesgos de terceros, la confianza en terceros puede dejar a su negocio vulnerable. Es importante entonces conocer algunas de las mejores prácticas de gestión de riesgos de terceros que deben incorporarse en un buen programa de TPRM y de esta manera mitigar los riesgos:
Evaluar a los proveedores
Es conveniente hacer una clasificación de los proveedores, toda vez que no todos son iguales de importantes, por lo que es fundamental determinar qué terceros importan más. Para mejorar la eficiencia en un programa TPRM, pueden segmentarse a los proveedores en niveles de criticidad, por ejemplo.
- Nivel 1: Alto riesgo, alta criticidad
- Nivel 2: Riesgo medio, criticidad media
- Nivel 3: Bajo riesgo, baja criticidad
De esta manera, en la práctica, las organizaciones centrarán su tiempo y recursos en los proveedores de nivel 1 primero, ya que requieren una diligencia debida y una recopilación de pruebas más estrictas. Por lo general, los proveedores de nivel 1 están sujetos a las evaluaciones más profundas, que a menudo incluyen la validación de la evaluación en el sitio. Para clasificar los proveedores por niveles, se puede usar el riesgo inherente del tercero, el cual está en función de si se puede compartir cierta información con el proveedor, así como el impacto que ocasiona la no prestación de un servicio. El valor del contrato puede ser útil para ayudar a segmentar. Los proveedores de gran presupuesto pueden segmentarse automáticamente como un proveedor de nivel 1 debido al alto riesgo basado únicamente en el valor del contrato.
Automatización y análisis
Las eficiencias surgen cuando las operaciones son consistentes y repetibles. Hay una serie de áreas en el ciclo de vida de la gestión de riesgos de terceros donde emplear la automatización es ideal. Por ejemplo:
- Incorporación de nuevos proveedores. Agregar automáticamente información de los proveedores al listado general utilizando un formulario de admisión o mediante la integración con la gestión de contratos u otros sistemas.
- Cálculo del riesgo inherente y escalonamiento de proveedores. Al admitir un nuevo proveedor, se debe recopilar información sobre el contexto empresarial básico para determinar su riesgo inherente, lo cual permite priorizar automáticamente a los proveedores que representan el mayor riesgo.
- Activación de revisiones de rendimiento de proveedores. Se pueden configurar los disparadores de automatización para realizar una revisión del proveedor cada año, y si el proveedor no pasa la revisión, active otro tipo de acciones. También puede preverse una reevaluación basada en las fechas de vencimiento del contrato y emplear las respuestas de la evaluación del año anterior para no iniciar la evaluación del proveedor desde cero.
- Programación y ejecución de informes. Es posible configurar informes automatizados que se ejecuten diaria, semanal o mensualmente y que se compartan automáticamente con la persona adecuada.
Cada programa de gestión de riesgos de terceros es diferente, así que deben revisarse los procesos repetibles que están maduros para la automatización. A partir de ahí, se pueden automatizar tareas clave. Con el tiempo, estas pequeñas automatizaciones serán un conjunto robusto que permiten ahorros en tiempo y dinero.
Considerar diferentes riesgos
Al considerar un programa de gestión de riesgos de terceros o de proveedores, muchas organizaciones piensan inmediatamente en los riesgos de ciberseguridad. Pero la TPRM implica mucho más. Es una buena idea comenzar poco a poco y centrarse en aquellos riesgos que deben priorizarse. Por ejemplo:
- Riesgos reputacionales
- Riesgos estratégicos
- Riesgos financieros
- Riesgos operacionales
- Riesgos de cumplimiento
- Riesgos éticos
- Riesgos de continuidad del negocio
Y muchos más. Lo importante es comprender todos los tipos relevantes de riesgo (y no solo la ciberseguridad), lo cual es imperativo para construir un programa de gestión de riesgos de terceros de clase mundial. En un próximo artículo se sintetizará el ciclo de vida de la gestión de riesgos de terceros.
CP Iván Rodríguez
Auditor y Consultor, Diplomado en Alta Gerencia de Seguros y Derecho de Seguros. Especialista en Dirección Financiera y Desarrollo Organizacional, Diplomado en Gerencia de la Calidad, Contador Público de la Pontificia Universidad Javeriana, con 20 años de experiencia en diversas empresas. Amplia experiencia en la elaboración y ejecución de auditorías y revisorías fiscales. Dirección y ejecución de asesorías, consultorías y capacitaciones. Colaborador de Auditool
Bogotá DC, Colombia