La gestión de terceros mejora la visibilidad en cuanto a las relaciones de la empresa con entidades externas como proveedores, socios y proveedores de servicios. Esta práctica tiene como objetivo optimizar el valor y mitigar los riesgos asociados con los terceros.

Para comprender cómo es la gestión integral de terceros, es importante comprender dónde comienza y cómo abarca todo tu negocio. 

Cifras clave en la gestión de riesgos de terceros:

• Proveedores: proporcionan materias primas o productos sin procesar al inicio de la cadena de suministro.
• Socios: ofrecen productos o servicios más adelante en la cadena de suministro; a veces, dentro de esta categoría se incluyen los socios tecnológicos.
• Proveedores de servicios: prestan servicios o aportan tecnologías en lugar de productos o materias primas.

Todos los terceros tienen acceso a los sistemas de la empresa y a su propiedad intelectual, lo que requiere una gestión proactiva del riesgo.

Para saber más sobre el ciclo de vida de la gestión de terceros, descarga este libro electrónico.

Evolución de la gestión de los riesgos de terceros:

• Ampliación de la gestión de riesgos a la gestión integral: la gestión tradicional del riesgo de terceros se centra principalmente en la seguridad. Pero este campo ahora enfatiza la privacidad, la ética y la resiliencia operativa, incluidos los riesgos emergentes como la IA. Este cambio hacia una gestión de terceros más amplia integra múltiples funciones empresariales para abordar los riesgos operativos de manera integral.

¿Cuál es el ciclo de vida de la gestión de terceros?

Al igual que cualquier otra relación, las relaciones de tu empresa con sus terceros pasarán por distintas fases a lo largo del tiempo. Es importante tener una estrategia de gestión de terceros que tenga en cuenta cada una de las fases de forma adecuada y una solución de software para ayudar a ejecutar dicha estrategia. Las fases del ciclo de vida de la gestión de terceros incluyen:

1. Incorporación de terceros: crea y conserva un inventario completo de terceros utilizando integraciones de software o cuestionarios.
2. Define el apetito de riesgo: ajusta la tolerancia al riesgo con los objetivos de la organización, involucrando a las partes interesadas clave para establecer umbrales para los niveles de riesgo aceptable. Comunica estos límites claramente a los terceros.
3. Calcula el riesgo inherente: evalúa los riesgos que estén relacionados con los terceros en función de factores como el sector, la ubicación y el rendimiento. Compara los riesgos inherentes con el apetito de riesgo de tu organización para decidir si se necesitan controles adicionales.
4. Fases de la evaluación:
   • Verifica el riesgo y los datos de cumplimiento normativo: utiliza datos externos para identificar señales de alerta y preocupaciones éticas. Las comprobaciones de diligencia debida son cruciales para detectar posibles problemas, como infracciones normativas o prácticas poco éticas.
   • Evalúa certificaciones y atestados: revisa certificaciones de terceros (p. ej., ISO 27001) para verificar el cumplimiento de las normas del sector y las prácticas de seguridad.
   • Envía cuestionarios dinámicos: personaliza cuestionarios para abordar riesgos específicos y recopilar información detallada con objeto de evaluar el ajuste con tu apetito de riesgo.
5. Control y tratamiento del riesgo: analiza las respuestas al cuestionario para interpretar las implicaciones de los riesgos e implementar los controles adecuados. Integra la gestión de riesgos con la fase de contratación para adaptar las protecciones en función de los riesgos que se identifiquen.
6. Monitoriza, responde y reevalúa: monitoriza continuamente las actividades de los terceros y reevalúa los riesgos a medida que van evolucionando las relaciones. Implementa avisos y revisiones periódicas para abordar los riesgos emergentes y los cambios en los servicios de los terceros.
7. Generación de informes y registros: realiza un seguimiento y visualiza las métricas clave que están relacionadas con la gestión de terceros. Conserva registros automatizados para asegurar la transparencia y el cumplimiento normativo

Funciones y responsabilidades para las diferentes unidades de negocio

Las funciones que desempeñan las diferentes unidades de negocio en la gestión de terceros están determinadas principalmente por las variedades de riesgo que más les preocupan. Por ejemplo, en el caso del equipo de seguridad, será importante saber si algún tercero ha sufrido una brecha de datos y, en caso afirmativo, cómo respondió a dicha brecha.

Cada unidad de negocio va a tener sus propias necesidades para con los terceros, lo que significa que también necesitarán un sistema de responsabilidades y funciones definidas que asegure su organización dentro de la empresa.  

Funciones de las unidades de negocio clave:

• Seguridad: se centra en los riesgos de ciberseguridad que están asociados con los terceros, incluido el historial de brechas y las medidas de protección. Garantiza que los terceros disponen de controles de seguridad adecuados y el cumplimiento normativo de los requisitos de continuidad.

• Privacidad: gestiona los riesgos que están relacionados con la protección de datos y el cumplimiento normativo; especialmente, en relación con los datos personales de carácter sensible. Se coordina con la seguridad para proteger los datos y garantizar el cumplimiento jurídico.

• Ética y cumplimiento normativo: Examina los riesgos normativos y para la reputación, incluidas las prácticas poco éticas y las violaciones de la política. Utiliza herramientas de diligencia debida y monitorización para identificar posibles incidencias.

• Compras y aprovisionamiento: gestiona la selección de proveedores, la competitividad de las licitaciones y la negociación de contratos. Desempeña un papel clave en la investigación inicial de terceros y en la gestión del proceso de incorporación

El camino que tenemos por delante

La gestión efectiva de terceros implica comprender y gestionar el ciclo de vida de las relaciones con entidades externas. Requiere la coordinación entre varias unidades de negocio para abordar los riesgos que están relacionados con la seguridad, la privacidad, la ética y el cumplimiento normativo. Al gestionar de manera sistemática estas relaciones e integrar los procesos de gestión de riesgos, las organizaciones pueden optimizar el valor y ofrecer protección frente a posibles amenazas.

Acerca de OneTrust Third-Party Management

OneTrust Third-Party Management ofrece una mayor visibilidad sobre los riesgos a la hora de administrar a terceros en toda la empresa. La solución proporciona acceso a varias funcionalidades, que han sido creadas teniendo en cuenta la automatización y el ahorro de tiempo. La solución incluye Third-Party Due Diligence para la verificación de entidades y Third-Party Risk Management para la mitigación de riesgos y la gestión del ciclo de vida. Además, esta solución ofrece datos de riesgo listos para usarse sobre miles de terceros a través del Exchange de riesgos de terceros, que incluye información de SecurityScorecard, RiskRecon, ISS Corporate Solutions (anteriormente, FICO) y otras fuentes.

De manera conjunta, estas funciones facilitan trabajar con confianza con terceros al reducir los puntos ciegos en los dominios de riesgo, simplificar el cumplimiento normativo, agregar más valor al incorporar y evaluar a terceros, y mejorar la resiliencia empresarial con la monitorización continua, y todo ello mientras se resaltan los datos para una toma de decisiones más rápida a lo largo del ciclo de vida de terceros. 

Para saber más sobre cómo OneTrust Third-Party Management puede ayudarte a comprender y abordar el riesgo a lo largo de tu negocio, solicita una demostración hoy mismo.