Seminario web bajo demanda disponible próximamente

Blog

Cómo gestionar y medir los riesgos de terceros

Potencia tu programa de cumplimiento normativo con una supervisión e informes de riesgos de terceros continuos

Kelly Maxwell
Especialista en marketing de contenido, OneTrust
10 de julio de 2022

Imagen de dos hombres vestidos con trajes de negocios que charlan en una mesa fuera de un café.

Índice

OneTrust is a leader in third-party risk management platforms

See why Forrester named OneTrust a leading provider in third-party risk management platform solutions.

Descargar ahora

Resumen

Los tres pasos para gestionar los riesgos de terceros son cruciales para aplacar tanto a los reguladores como a los consejos de administración.

  • Continúa cumpliendo con las directrices del Departamento de Justicia de los EE. UU. para gestionar los riesgos de terceros examinando y supervisando de forma continua tus relaciones con los terceros.
  • Aprovecha la ventaja de la diligencia debida continua basada en los riesgos, mientras continúas perfeccionando (y documentando) a lo largo del camino.
  • Perfecciona tu ventaja competitiva con informes de riesgos de terceros continuos y sistemáticos.

Aprende a medir el impacto de tu equipo de gestión de riesgos y reduce el coste medio y el tiempo necesario para mitigar los riesgos de terceros.

En la actualidad, hay muchos datos a nuestra disposición. Debido a la gran cantidad de opciones, determinar exactamente qué métricas de riesgo de terceros hay que medir y sobre cuáles hay que informar puede parecer una tarea abrumadora e interminable. Por tanto, ¿cómo puedes satisfacer a los reguladores sin pasar cada momento del día realizando evaluaciones de riesgos?

Como las directrices actualizadas del Departamento de Justicia recalcan la importancia de la actividad continua y llevan una monitorización del ciclo de vida de las relaciones con los terceros, la evaluación estática no es una opción viable. Según las directrices del Departamento de Justicia, esta es una pregunta importante: «¿La empresa participa en la gestión de riesgos de terceros durante la vida útil de la relación o durante el proceso de incorporación?». La monitorización precisa y continua, así como el énfasis en las actividades de gestión de relaciones de apoyo que son necesarias para ejecutar dichas actividades, son ahora de manera oficial el pilar fundamental.

No importa si eres un profesional experimentado del cumplimiento normativo o si eres totalmente nuevo en el mundo de la evaluación de riesgos, hoy compartiremos contigo los tres pasos clave a la hora de gestionar y medir el riesgo de terceros.

 

Paso 1: Evaluación de riesgos

El primer paso en la gestión de relaciones con terceros es comprender el panorama de tus terceros de manera específica efectuando evaluaciones de riesgos. Si quieres convertirte en un negocio que se base en la confianza, proteger la reputación de tu marca y garantizar el cumplimiento normativo, tendrás que examinar y monitorizar las relaciones con tus terceros. Pero como es imposible encuestar y supervisar a cada tercero al mismo tiempo (especialmente, cuando los recursos son limitados), primero tendrás que priorizar las relaciones de mayor riesgo. Tómate el tiempo necesario para efectuar una evaluación de riesgos exhaustiva con el fin de clasificar tus relaciones con terceros y respaldar las actividades de diligencia debida.

 

Gestión de relaciones con terceros

Como los terceros no se rigen por la supervisión de tu organización, la importancia de la gestión de relaciones es crítica. Como primera línea de defensa, las empresas deben comprender los riesgos que presentan sus relaciones con terceros al incorporar la gestión de riesgos en las operaciones generales de la empresa. Inicia este proceso asignando un responsable de relaciones a cada tercero con el que tu organización haga negocios. Este empleado será responsable de la gestión, el mantenimiento, la evaluación y la notificación de la relación entre tu empresa y el tercero, y estas tareas clave serán esenciales para los siguientes dos pasos del proceso de supervisión de los riesgos de terceros y se detallan a continuación. Además, este profesional deberá ser confiable y estar lo suficientemente instruido como para abordar lo siguiente:

  • Implementar indicadores clave de rendimiento para medir adecuadamente los objetivos y el éxito de tu equipo de gestión de riesgos a lo largo del tiempo.
  • Habilitar indicadores clave de riesgo para medir los riesgos de terceros con el fin de reflejar la exposición real al riesgo.
  • Iniciar un contacto regular con el tercero.
  • Realizar reuniones anuales con el tercero con objeto de revisar sus obligaciones en materia de cumplimiento normativo.
  • Preparar informes anuales que resuman los servicios prestados por el tercero.
  • Ayudar a los responsables y al equipo directivo de la empresa con cualquier problema relacionado con terceros.

 

Paso 2: Diligencia debida inicial y revisión

Como el Departamento de Justicia destacó la necesidad de una «diligencia debida basada en los riesgos», tu evaluación de terceros y los indicadores clave de riesgo nunca podrán estandarizarse para ajustarse a todas las circunstancias. Una vez completada la evaluación de riesgos inicial e identificado tus relaciones de alta prioridad a partir del triaje, puedes comenzar la diligencia debida basada en riesgos de manera oficial. La actualización de 2020 a la evaluación de programas de cumplimiento corporativo establece directrices para priorizar los cuestionarios de diligencia debida y la contratación, lo que requiere que las relaciones de alto riesgo se administren de forma continua.

La actualización del Departamento de Justicia realiza la siguiente pregunta: «¿Cómo se ha ajustado el proceso de gestión de terceros de la empresa a la naturaleza y al nivel del riesgo que esta ha identificado? ¿Cómo se ha integrado este proceso en los procesos de gestión de proveedores y adquisiciones pertinentes?». Si has acabado con un pequeño grupo de terceros de alta prioridad, entonces puedes evaluarlos primero. Pero si acabas con un grupo significativo de terceros de alta prioridad, es posible que quieras volver atrás y reajustar tus criterios en el proceso de clasificación. Recuerda que el Departamento de Justicia examinará tus procesos, por lo que deberás ser capaz de explicar tus acciones y mostrar tu trabajo.

 

Paso 3: Informes continuos de riesgos de terceros

En EE. UU., algunos anuncios antiguos de teletienda usaban la coletilla de «configúralo y olvídate del resto». Era una frase que se usaba mucho. Desafortunadamente, si tu informe de riesgos de terceros pretende ser exacto y fiable, debe supervisarse y actualizarse de forma constante. La mentalidad de «una vez y listo» no sirve de nada. No se trata solo de un trabajo ajetreado: si se hace bien, acabará siendo la herramienta más valiosa que tendrás a tu disposición. Para determinar de modo objetivo cómo se siguen exactamente tus términos y condiciones de cumplimiento normativo, tu supervisión continua debe ser sistemática, independiente y documentarse de manera sencilla. Informar sobre tus datos se convertirá en algo natural si capturas, detallas y analizas de forma sistemática tus riesgos de terceros. Dicho esto, cualquier base de referencia mínima para la supervisión de terceros debe incluir las siguientes métricas:

  • Programas de cumplimiento normativo existentes y efectividad del código de conducta
  • El origen y la legitimidad de cualquier fondo que se haya pagado
  • Todos los desembolsos que se hayan realizado para o de parte de la empresa
  • Todos los fondos que se hayan recibido en relación con el trabajo realizado y los servicios o equipos proporcionados

 

¿Cómo es una evaluación exhaustiva de los riesgos de terceros?

Más allá de las métricas básicas de supervisión de terceros que se han enumerado con anterioridad, ten en cuenta la siguiente lista para obtener datos adicionales a evaluar:

  • Revisión del programa de formación sobre cumplimiento normativo, tanto del contenido del programa como de los registros de asistencia, para determinar la efectividad de este
  • Revisión del programa de línea directa de terceros
  • Revisión del informe de gastos de los empleados en puestos o países de riesgo elevado
  • Límites de gasto en regalos, viajes y entretenimiento que se ofrezcan o acepten funcionarios gubernamentales. ¿Se han excedido las cuantías?

 

Indicadores clave de rendimiento a tener en cuenta para un programa de gestión de riesgos de terceros exitoso

Recuerda que las métricas no terminan con tus proveedores externos, tus indicadores clave de rendimiento detallarán el éxito de tu programa con el paso del tiempo. Por tanto, es muy importante responsabilizarse del proceso documentando el impacto y la efectividad de tus métricas internas de gestión de riesgos de terceros. A continuación, se enumeran algunos de estos indicadores clave de rendimiento que deben tenerse en cuenta como punto de partida. Adapta tus métricas de gestión de riesgos a tu organización en particular.

Este indicador clave de rendimiento idealmente debería mostrar los tiempos de detección de bajo riesgo. ¿Cuánto tiempo tarda tu equipo en detectar riesgos? ¿Cómo puedes reducir los tiempos de detección?

¿Cómo responde tu equipo cuando se detecta un riesgo? Cuanto más rápida sea la respuesta, menor será el daño potencial. Intenta reducir este indicador clave de rendimiento a lo largo del tiempo para indicar la eficiencia y efectividad a tu junta directiva.

¿Cuánto le cuesta a tu empresa gestionar los riesgos de terceros? A medida que va mejorando la eficiencia, ¿consigues que dicha cifra vaya disminuyendo con el tiempo? Además, si los costes son más bajos en este aspecto, ¿supone eso menos riesgos en general?

El número de riesgos que tu equipo o empleado han identificado con el tiempo. Este indicador clave de rendimiento podría aumentar, a medida que mejore tu eficiencia y comprensión con respecto a los terceros.

Aunque comparar tu programa con otros puede ayudar a identificar áreas de mejora, observar los riesgos de otros departamentos o divisiones en tu organización puede fomentar una acción más reflexiva y metódica. Profundiza en los indicadores clave de rendimiento anteriores, en todas las unidades de negocio, con el fin de visualizar los riesgos más significativos para tu organización en general.

El trabajo no termina cuando comienzas con la supervisión y la monitorización; la salud de tu programa de gestión de terceros depende de una revisión regular. Si quieres detener las amenazas potenciales al momento, la solidez y la fiabilidad de un programa bien reforzado erradicará las incidencias antes de que se conviertan en infracciones legislativas. Para que los reguladores aprueben tu informe, sé consistente y documenta todos los pasos que hayas efectuado. Siempre que realices una auditoría de tu programa de cumplimiento normativo, las métricas detalladas te ayudarán con cualquier autoevaluación futura.

¿Quieres ver cómo es una herramienta exhaustiva de gestión de riesgos en acción? El equipo de OneTrust está listo para guiarte a través de una demostración gratuita de nuestra solución de software de riesgos de terceros.

Simplifica las comprobaciones de admisión y cumplimiento normativo, centraliza los perfiles de terceros, automatiza las evaluaciones y los avisos de riesgos, monitoriza el cumplimiento normativo y minimiza el riesgo con OneTrust Third-Party Due Diligence. Solicita hoy mismo una prueba gratuita de Third-Party Due Diligence.

También podría interesarte:

Seminario web

Riesgos de terceros

Live Demo: Desarrollando un programa integral para la gestión de riesgos de terceros

¿Te resulta difícil mantenerte a la vanguardia en el siempre cambiante panorama de la gestión de riesgos de terceros (TPRM)? ¿Te gustaría automatizar tareas tediosas, ahorrar tiempo y reducir costes, todo mientras mejoras tu programa de TPRM? No estás solo. En el entorno empresarial actual, gestionar el riesgo de terceros es más crítico que nunca. Con tantas herramientas y procesos disponibles, saber por dónde empezar puede ser abrumador.  

enero 16, 2025

Aprende más

Seminario web

GRC y garantía de seguridad

Cumplimiento de NIS2: cómo resolver los retos de la normativa con una demostración práctica

Acompáñanos en esta sesión dónde repasaremos los principales requisitos de la normativa NIS2 y su impacto. Además, podrás asistir a una demostración práctica y conocer cómo OneTrust te ayuda a resolver los retos de gobernanza, gestión de riesgos y terceros, gestión de incidentes y cumplimiento asociados a la normativa.

noviembre 26, 2024

Aprende más

Informe

Automatización de la privacidad

Definiendo la nueva dirección que están tomando los datos

Aunque la IA continúa ofreciendo oportunidades inigualables para la innovación empresarial, también presenta riesgos de los que las organizaciones deben ocuparse de manera proactiva a través de programas de gobernanza escalables que abarquen múltiples fuentes de datos. Hay seis tendencias clave que definen estos desafíos.

noviembre 13, 2024

Aprende más

Libro electrónico

Riesgos de terceros

Cómo simplificar la gestión de riesgos de terceros

Simplifica las relaciones con terceros y evita los errores más comunes en el proceso.

octubre 03, 2024

Aprende más

Seminario web

Riesgos de terceros

DORA y sus estándares: una sesión práctica con OneTrust y Deloitte

Acompáñanos el próximo 24 de abril a esta sesión y descubre como OneTrust y Deloitte facilitan la adopción de DORA y sus estándares asociados en una sesión práctica donde veremos desde la Gestión de Riesgos y la Gestión de Incidentes, hasta el Registro de Información de la cadena de suministro.

abril 24, 2024

Aprende más

Seminario web

Riesgos de terceros

Secretos del éxito en la gestión de terceros: controlar la diligencia debida y la gestión de riesgos

Dominar el arte de la diligencia debida y la gestión de riesgos y cómo armonizarlos para maximizar su eficacia. 

junio 08, 2023

Aprende más

Blog

Inteligencia para la confianza

OneTrust presenta innovaciones para habilitar el uso responsable de los datos y el trust intelligence a gran escala

OneTrust anuncia nuevas innovaciones dentro de su plataforma de Trust Intelligence para ayudar a las empresas a utilizar los datos de forma responsable y desarrollar inteligencia de confianza a escala.

mayo 23, 2023 5 minutos de lectura

Aprende más

Blog

Riesgos de terceros

¿Por qué elegir OneTrust para la gestión de terceros?

abril 13, 2023 6 minutos de lectura

Aprende más

Seminario web

Riesgos de terceros

Academia RGPD: Los riesgos de terceros

En la tercera sesión de la Academia RGPD hablaremos sobre los riesgos de proveedores (y empleados), crítico en los programas de privacidad. 

diciembre 22, 2022

Aprende más

Búsquedas principales

Recursos

Plataforma

Empresa

Contacto

La privacidad importa

Nuestro centro de privacidad te lo pone fácil para saber cómo
recopilamos y utilizamos tu información.

Tu privacidad

Cuando recopilamos tu información personal, siempre te informamos sobre tus derechos y facilitamos que los puedas ejercer. Siempre que sea posible, también permitimos que puedas administrar tus preferencias sobre cuánta información quieres compartir con nosotros o nuestros socios.

© {{CURRENT_DATE}} OneTrust LLC. Todos los derechos reservados.

Seminario web bajo demanda disponible próximamente

Nuestras políticas

Tus derechos