Gestión de riesgos de terceros

Gestión de riesgos de terceros

Mantener altos niveles de eficiencia operativa

Las empresas subcontratan cada vez más tareas críticas a sus proveedores. Esta práctica conlleva tanto ventajas como riesgos. Aunque trabajar con un tercero puede ahorrarle dinero y ayudarle a operar de forma más eficiente, también crea vulnerabilidades. Acontecimientos recientes, como la pandemia de Covid-19, el ciberataque de SolarWinds, el ataque de Colonial Pipeline y otras violaciones de ransomware han puesto de manifiesto los riesgos relacionados con los proveedores. Estos sucesos han afectado a millones de empresas y a sus terceros, independientemente del sector, el tamaño de la empresa o el país.

La subcontratación es un componente necesario para dirigir una empresa moderna. No sólo ahorra dinero a la empresa, sino que es una forma sencilla de aprovechar la experiencia que una organización puede no tener en la actualidad. El inconveniente es que, si no se dispone de un programa adecuado de gestión de terceros, depender de ellos puede dejar a la empresa en una situación de vulnerabilidad.

Soluciones de gestión de riesgos de terceros

Las empresas subcontratan cada vez más tareas críticas a sus proveedores. Esta práctica conlleva tanto ventajas como riesgos. Aunque trabajar con un tercero puede ahorrarle dinero y ayudarle a operar de forma más eficiente, también crea vulnerabilidades. Acontecimientos recientes, como la pandemia de Covid-19, el ciberataque de SolarWinds, el ataque de Colonial Pipeline y otras violaciones de ransomware han puesto de manifiesto los riesgos relacionados con los proveedores. Estos sucesos han afectado a millones de empresas y a sus terceros, independientemente del sector, el tamaño de la empresa o el país.

La subcontratación es un componente necesario para dirigir una empresa moderna. No sólo ahorra dinero a la empresa, sino que es una forma sencilla de aprovechar la experiencia que una organización puede no tener en la actualidad. El inconveniente es que, si no se dispone de un programa adecuado de gestión de riesgos de terceros, confiar en ellos puede dejar a la empresa en una situación de vulnerabilidad.

Programas eficaces de gestión de riesgos de terceros

Un programa eficaz de GTPR puede reducir el impacto de los sucesos perturbadores y reducir la exposición global al riesgo de una empresa. Sin embargo, el TPRM ofrece muchos más beneficios que la simple reducción de riesgos. Por ejemplo, las empresas que han implementado un programa de gestión de riesgos de terceros pueden evaluar e incorporar nuevos proveedores de manera más eficiente, poniendo las herramientas adecuadas en manos de las personas adecuadas, más rápidamente. Además, un programa de riesgos de terceros puede dar a las organizaciones la capacidad de supervisar sus relaciones con terceros a lo largo del tiempo, identificando nuevos riesgos a medida que surgen, así como midiendo el rendimiento de los terceros. Hay muchas otras razones por las que la gestión del riesgo de terceros es importante, incluyendo la capacidad de: 

  • Hacer que los proveedores se responsabilicen de los contratos 
  • Reducir el gasto identificando a los terceros redundantes 
  • Cumplir la normativa mundial y los requisitos del sector 
  • Entender cómo fluyen los datos y quién tiene acceso a ellos 
  • Hacer un seguimiento de los controles de seguridad y gestión de los esfuerzos de mitigación de riesgos 
  • Desembarcar a los proveedores y mantener los registros para el cumplimiento

Gestión del riesgo de terceros

No existe un enfoque único para la gestión del riesgo de terceros. Cada empresa es diferente. Sin embargo, hay medidas comunes que toda empresa con un programa sólido de gestión de riesgos de terceros debe adoptar. Estas medidas incluyen:

  • Definir su apetito de riesgo mediante la elaboración de una declaración de apetito de riesgo 
  • Gestionar los riesgos hasta el producto o servicio individual ofrecido por un tercero
  • Elección del marco de control y norma de evaluación
  • Identificar eltipos de riesgo que son más importantes para su organización 
  • Creación de un inventario de terceros y seguimiento de los atributos críticos definidos por su empresa 
  • Clasificar a sus proveedores basado en la criticidad

Gestión de riesgos de terceros en 8 pasos

La implantación de un programa TPRM depende en gran medida del tamaño de su organización y de la escala de su programa de gestión de terceros. Dicho esto, muchas implantaciones de programas siguen una metodología común. El sitio Grupo de Privacidad de Datos Los expertos en Gestión de Riesgos de Terceros han creado un enfoque de 8 pasos para implantar un programa de Gestión de Riesgos de Terceros:

1

Construya su inventario

2

Clasifique a sus proveedores

3

Elija su marco de evaluación

4

Desarrolle su metodología de evaluación

5

Defina su metodología de riesgos y su marco de control

6

Crear flujos de trabajo y disparadores de automatización

7

Construya sus informes y cuadros de mando

8

Perfeccione su programa con el tiempo

Paso 1

Construya su inventario de terceros

Importaremos su lista de terceros existente (si la tiene) y configuraremos los atributos que le gustaría rastrear para cada tercero. Si no tiene una lista de terceros, hay algunos métodos que podemos utilizar para identificar y  a bordo de tercerosComo la realización de evaluaciones de descubrimiento por parte de terceros o el aprovechamiento de un portal de autoservicio para los usuarios de la empresa.

Paso 2

Clasifique a sus terceros

Con docenas, cientos o incluso miles de terceros, es difícil saber cuáles son los más importantes. Resolvemos este problema clasificando a los proveedores en diferentes niveles: 

  • Terceros de nivel 1: Alto riesgo, alta criticidad 
  • Terceros de nivel 2: Riesgo medio, criticidad media 
  • Terceros de nivel 3: Bajo riesgo, baja criticidad 
Paso 3

Elija su marco de evaluación

Hay muchosnormas o marcos de evaluación para elegir. No hay una evaluación "correcta" que funcione para todos. Sin embargo, es probable que haya un marco de evaluación "correcto" que funcione para su empresa y su sector.

Exploraremos estas normas y marcos con usted para asegurarnos de que se trata del marco "adecuado" para su empresa.

Normas comunes de evaluación de la industria:
Normas para industrias específicas:
Paso 4

Desarrolle su metodología de evaluación

Desarrollaremos sus procesos de evaluación asegurándonos de tener en cuenta las siguientes cuestiones:

¿Cómo sabemos cuándo es necesaria una nueva evaluación de terceros? 

¿Quién debe tener la capacidad de lanzar una evaluación de terceros? 

¿Cuánto esfuerzo quiere dedicar a la validación de las respuestas de la evaluación? 

¿Quién revisa las evaluaciones? 

¿Qué preguntas de evaluación generan riesgos? 

¿Cómo se agregan los riesgos señalados y se informa sobre ellos? 

¿Se necesitan evaluaciones de seguimiento basadas en las respuestas de la evaluación inicial? 

¿Con qué frecuencia debe reevaluar a sus proveedores? 

¿Realizará las evaluaciones usted mismo, o lo hará unintercambio de evaluaciones¿trabaja para usted? 

Para los vendedores de bajo riesgo: Sugerimos un enfoque de autocertificación de terceros en el que éstos "atestiguan" la exactitud de sus respuestas. 

Para los vendedores de riesgo medio y alto: Sugerimos adoptar un enfoque de validación más intensivo, como una auditoría a distancia o, potencialmente, una auditoría in situ. 

Paso 5

Defina su metodología de riesgos y su marco de control

Todo programa de GTPR necesita una forma de calcular los riesgos. Su metodología de riesgos, junto con el marco de control elegido, debe ser definida internamente por su organización. Nuestro Terceras partes Los expertos en gestión de riesgos trabajarán con usted para elegir una estrategia de riesgos adecuada a sus necesidades.

Paso 6

Crear flujos de trabajo y disparadores de automatización

A medida que construyamos sus diferentes flujos de trabajo de TPRM, tendremos en cuenta dónde podemos aplicar la automatización para ahorrar tiempo. Buscaremos añadir la automatización cuando:

  • Se añadanincorporación de nuevos terceros
  • Se midanlos riesgos inherentesy proveedores de niveles. 
  • Se asignen a los propietarios de los riesgos y deleguen las acciones de mitigación necesarias. 
  • Activar las revisiones de rendimiento o de renovación por parte de terceros. 
  • Activar las reevaluaciones anuales de terceros. 
  • Se programen, ejecuten y compartan informes. 
  • Programar, ejecutar y compartir informes. 

Cada empresa tiene sus propios flujos de trabajo de gestión de riesgos de terceros. Para agilizar estos flujos de trabajo, nos centraremos en identificar los procesos y tareas más repetibles. A continuación, empezaremos a configurar la automatización de estos aspectos específicos de sus flujos de trabajo. A medida que se agrega cada pequeña automatización, la eficiencia se incrementará y su equipo cosechará las recompensas de ahorro de tiempo. 

Paso 7

Construya sus informes y cuadros de mando

Nuestros expertos en gestión de riesgos de terceros trabajarán con usted para definir sus requisitos de presentación de informes y qué información sería útil mostrar en un cuadro de mando.

Las métricas más sencillas que solemos seguir son: 

  • Número total de vendedores 
  • Proveedores por puntuación o nivel de riesgo 
  • Estado de todas las evaluaciones de riesgo de terceros 
  • Número de contratos de terceros que expiran o se vencen 
  • Riesgos agrupados por nivel (alto, medio, bajo) 
  • Riesgos por etapa dentro del flujo de trabajo de remediación de riesgos 
  • Riesgos para su organización matriz y riesgos para sus filiales 
  • Historial de riesgos a lo largo del tiempo 
Paso 8

Perfeccione su programa con el tiempo

La gestión de riesgos de terceros no es una disciplina estática. Constantemente surgen nuevas amenazas y requisitos, por eso es tan importante dar un paso atrás de vez en cuando para determinar si su programa sigue dando en el clavo. Trabajaremos con usted periódicamente para reevaluar el programa y solucionar cualquier problema.

Hable hoy con nuestros expertos en gestión de riesgos de terceros

Hable hoy con nuestros expertos en gestión de riesgos de terceros

Con The Data Privacy Group, siempre obtendrá

Vía rápida hacia el cumplimiento

Procesos escalables

Soporte las 24 horas

Ayuda experta instantánea

Sin sorpresas desagradables

Reduzca su tiempo de valoración