¿Puedes transformar los riesgos de terceros en una ventaja ... · 8 | Transormando los riesgos de...

¿Puedestransformar losriesgos de terceros en una ventajacompetitiva?

Además, la expectativa de los shareholders y losreguladores es que los consejos sepan exactamente loque la compañía está haciendo alrededor del mundo,qué terceros actúan en su nombre y qué tienenautorizado realizar. Las organizaciones están cada vezmás expuestas a que un comportamiento inadecuado ocriminal comprometa los intereses de la organización ysus stakeholders.

La industria de servicios financieros había estado a lavanguardia en la gestión de riesgos de terceros (ThirdParty Risk Management o TPRM por sus siglas eninglés); sin embargo, como lo muestran los resultadosde esta encuesta global, muchas organizaciones estándando pasos significativos para adelantarse a lasamenazas que los terceros representan. En la mayoríade los casos, la gestión de riesgos de terceros seencuentra en las primeras etapas.

En las siguientes páginas exploraremos cómo lasorganizaciones pueden mejorar su postura hacia lagestión de riesgos de terceros al hacer un balance desu actual estructura de gobierno identificando einventariando los riesgos de terceros, desarrollar unenfoque para evaluar los riesgos, probar y mejorar laspolíticas y procedimientos existentes, así comoasegurar que cuenten con las capacidades adecuadaspara medir y reportar su progreso.

En un mundo conectado, digital y altamentecompetitivo, las relaciones con tercerosofrecen a las empresas una mayor agilidad alreducir los tiempos de entrega, mientrasdisminuyen los costos.

Si bien estos ecosistemas ofrecen increíblesoportunidades para que las organizacionesbrinden experiencias excepcionales a losclientes e impulsen un crecimiento rentable,también abren la puerta para albergar nuevosriesgos.

Las organizaciones que tendrán éxito en estanueva era de transformación, serán aquellasque creen valor a través de su negocio. Lasrelaciones con terceros son un ejemplo de cómoasumen el riesgo a fin de ofrecer valorestratégico al tiempo que son responsables deprotegerse y monitorear los factores externosintroducidos por una entidad relacionada.

En los últimos años, los titulares de las noticiashan estado cubiertos de revelaciones deataques cibernéticos y brechas de seguridad,multas regulatorias, acciones legales en contrade los principales ejecutivos y daño a lareputación causado por vulnerabilidades deterceros.

Estas revelaciones han conmocionado a losaltos ejecutivos y a los consumidores por igual;motivando a los Consejos y Comités deAuditoría a prestar mayor atención.

Las organizaciones pueden delegar lasresponsabilidades de varias funciones, pero nola rendición de cuentas. El Comité Directivo esel último responsable por las acciones de losterceros.

Preguntas a considerar alabordar los riesgos deterceros

1¿Cómo su organiz acióndel ega l a propiedad y responsab il idad de l os riesgos de terceros?

2 ¿Su organiz ación cuenta con un catálogo integro desus terceros y l os riesgosde estos?

¿Su organiz ación escapaz de diferenciarentre terceros con b aseen l os riesgos paradefinir accionesadicional es necesariaspara seguir protegidos?

3

4¿La gestión de riesgos de terceros está integrada con su gestión de pol íticas de terceros?

5¿Su organiz ación cuentacon l a insfraesturctura ylas capacidades adecuadaspara gestionar y mitigarcorrectamente l osriesgos?

Contenido BienvenidoBienvenida.................................................................... 2Resumen ejecutivo...................................................... 4Seis pasos para constuir las capacidades TPRM........... 101. Inculcar supervisión y gobierno........................... 122. Obtener una visión completa del inventario

terceros............................................................. 14

3. Establecer un enfoque y modelos de riesgo......... 174. Implementar politícas y estándares...................... 185. Establecer y ejecutar los procesos TPRM ............. 206. Aprovechar las nuevas tecnologías para mejorar la mitigación de riesgo.......................................... 22

Nuestra metodología de encuesta............................... 24Contactos.................................................................... 25

2 | Transformando los riesgos de tercero en ventaja competitiva Transformando los riesgos de terceros en ventaja competitiva | 3

Riesgo de reputacónLa marca o reputación de la organizaciónpodría ser impactada por un eventooccurrido con el tercero

Riesgo regulatorio y decumplimientoRiesgo de que una tercera parte incumplauna regulación específica, provocando que la organización esté fuera de cumplimiento

Riesgo digitalAsociado con los procesos digitales del negocio

Riesgo operacionalLas deficiencias en las operaciones deterceros podrían generar incumplimiento enlos servicios o la entrega de productos

Riesgo estratégicoFalta de alineación entre los objetivosestratégicos del tercero y la organización

Riesgo financieroOcurre cuando un tercero no puede seguiroperando como una entidad financieramente viable

Riesgo cibernético y deprivacidadLas deficiencias en los controles del tercero podrían comprometer la seguridad de los datos de la organización

• Proveedores• Contractors• Joint ventures• Provedor de servicios• Brokers• Agentes

• Socios comerciales• Consultores• Vendors

• Contrato de servicios• Statement of work• Arrendamientos• Acuerdos de sociedad comercial• Contrato marco

Los terceros suponennumerosos riesgosExisten diferentes tipos de riesgos quelas organizaciones que utilizan tercerosdeben considerar, incluyendo estratégicos, operacionales,financieros, geopolíticos, regulatorios,digitales, cibernéticos y de privacidad,resiliencia y de reputación.

Por ejemplo, los terceros pudierantener un impacto importante en losriesgos operativos de laorganización si estos ofrecenproductos o servicios críticos. ¿Quésucede si un tercero es incapaz decumplir conforme al acuerdo deniveles de servicio debido a unainterrupción en el servicio o undefecto en la línea de producción?

Si ocurre un desastre natural, ¿cómopodrá su organización gestionar losriesgos de continuidad del negocio yresiliencia cuando un terceroproporciona las partes o suministrospara operar el negocio de forma ha-bitual? ¿Qué sucede si una terceraparte incumple los requerimientoslegales y regulatorios y es sujeta amultas y sanciones?

La gestión de riesgos deterceros proporciona unafunción para que laadministración identifique,evalúe y supervise cualquiercontingencia.

Third parties

Contra

tos

Figura 1: Qué es TPRM

Figura 2: Riesgos asociados al tercero

En una sesión de innovación anualorganizada por EY, los participantesen el panel discutieron losingredientes necesarios para lainnovación disruptiva.Específicamente, discutieron cómo elstatus quo no solo era obsoleto, sinoque era una receta para el desastre.Las organizaciones tienen quediseñar ecosistemas que mantengan la confianza con los stakeholders. En el último Barómetro de Confianza del Capital publicado por EY, una decada cinco organizacionesencuestadas mencionaron que estánbuscando una joint ventures y unaalianza para proporcionar lascondiciones favorables y lasherramientas para alcanzar elcrecimiento estratégico.

Estas tendencias sugieren que lacolaboración con terceros llegó para quedarse y para acelerar la evolución digital.

El ritmo del cambio en el entorno ac-tual exige a las comunidades deriesgo y ecosistemas de colaboraciónestar al día y aceptar la disrupciónpara lograr una ventaja competitivaen el mercado. Proveedores,contratistas, joint ventures,proveedores de servicio, brokers,agentes y consultores son algunos delos terceros con los que lasorganizaciones están formandorelaciones y construyendoconsorcios.

Mientras la necesidad de colaboración con terceros crece, losriesgos también aumentan. Estos nosolo radican en las relaciones en símismas, sino en los contratos quelos unen. Las organizaciones sonresponsables de su gestión.

Resumen ejecutivoLa necesidad cada vez mayor por l a gesión de riesgos de terceros

4 | Transformando los riesgos de terceros en ventaja competitiva Transformando los riesgos de terceros en ventaja competitiva | 5

Gestión deriesgos deterceros

Riesgo geopolíticoIncluye consideraciones legales, regulatorias, políticas y socioeconómicas al hacer negocios con un país específico

Riesgos asociados a terceros

Riesgo de continuidad del negocio y resiliencia Falla en la continuidad de la operación ha-bitual del tercero

Dirigir l os riesgos detercerosPara abordar los riesgos que suponenlos terceros, las organizaciones debendesarrollar capacidades que generenun ambiente de confianza ycooperación. La figura 3 representalos seis componentes primordialesque permiten diseñar e implementaruna función eficiente y coherente. Sineste marco, aumentaría la exposicióna daños a la reputación, esfuerzosincompletos de monitoreo y mayorescostos.

Este sistema ayuda a comprendermejor las relaciones al rastrear lasmétricas asociadas con los controles,el desempeño y las actividades de losterceros. La gestión continua y eficazpermite a las organizaciones evaluarsi el riesgo supera el costo de hacernegocios con estos.

La encuesta de TP RMde EY muestra diversosnivel es de madurez algestionar estos riesgosEY realizó una encuesta a más de100 organizaciones de diferentesindustrias alrededor del mundo,con el objetivo de entender cómolas organizaciones gestionan losriesgos de terceros. Estasindustrias incluyen productos deconsumo

y minoristas, ciencias de la viday salud, medios y entretenimiento,tecnología, productos industriales,gobierno y sector público.

Los temas encuestados incluyeron,estructura del programa, inventariode terceros, evaluación de riesgos,cuestionario de riesgos, gestión dehallazgos, reporte y tecnología,amenazas, ciberseguridad y retosfuturos.

Nuestros resultados revelarondiferentes niveles de madurez entrelos encuestados, dependiendo deltamaño y del tiempo en quedesarrollaron las capacidadesTPRM. Sin embargo, la mayoría está muy por detrás de los líderes de gestión de riesgos de terceros.

Oversight and governance

Risk approach and model s

TP RM processes

Third-party inventory

Pol icies and standards

Technol ogy, automation

and reporting

Third-party riskmanagement

Supervisióny gob ierno

Enfoq ue ymodel os de

riesgo

Procesos GRTP

Inventariode terceros

Pol íticas y estándares

Tecnol ogía,automatiza-

ción y reporte

Figura 3: Componentes TPRM Figura 4: Tabla de madurez TPRM

Componentes fundacionales

Gob ierno y supervisión

Inventario de terceros

Enfoq ue y model o de

riesgos

Pol íticas y estándares

ProcesoTP RM

Tecnol ogía,automatiz ación

y reporteo

Proporcionadirección a losinteresados en lacreación y ejecución del programa ysupervisa la función para confirmar queopere como fuediseñada.

Permite comprenderel panorama deterceros paraautomatizar el proceso de gestión de riesgos.

Determina que lasactividades demonitoreo sonesenciales en ladeterminación ycuantificación delvalor del programaTPRM.

Establece roles yresponsabilidadesclaras para todos losdueños funcionalesmediante laejecución de todo elciclo de vida delTPRM.

Establece estándaresy procesos escalables para evaluar y monitorear los niveles de riesgo y el cumplimiento de los controles de terceros.

Incrementa laefectividad, reducelos costos totales dela función de TPRM ypermite el monitoreocontinuo ycumplimiento deterceros. El uso de tecnologíaincrementa laintegridad de losdatos y ofreceinformes confiables.

Key

Gestión deriesgos deterceros

6 | Transormando los riesgos de tercero en ventaja competitiva Transormando los riesgos de tercero en ventaja competitiva | 7

Nivel 5: Mejora Nivel 4: Operación Nivel 3: Establecido Nivel 2: Planeación Nivel 1: Inicial

Nivel de madurez TP RM l íder en su cl ase N ivel de madurez de l os encuestados A umento de l a madurez

Puntos a destacar de l a encuesta de gestión de riesgos de terceros

42%de los encuestados gestiona losriesgos de terceros a través de una oficina

centralizada, siendo los principales

responsables: Cumplimiento (22%), Seguridad

de la Información (21%) y Compras.

52%

20%

30%

La adopción tecnol ógica paraapoyar l as actividades de gestión deriesgos de terceros todavía está enuna fase inicial ; l a mayoría de l osencuestados aún no impl ementaestas herramientas.

Los principal es retos q ue enfrentan los encuestados incl uyen l a fal ta detecnol ogía, descentral iz ación defunciones y presupuesto o financiamiento.

8 | Transormando los riesgos de tercero en ventaja competitiva Transforming your third-party risk into a competitive advantage | 9

mencionó que la función de gestión de

riesgos de terceros existe desde hace 3años o menos.

de las organizaciones experimentaron

una brecha causada por uno de sus

proveedores en los últimos dos años.

de los encuestados tiene una población de

5,000 o más terceros, siendo

Compras el principal responsable de estas

relaciones.

Seis pasosparaconstruircapacidadesde gestión deriesgos deterceros

Las organizaciones necesitancontar con capacidadesrobustas que se construyan enun ambiente de confianza ycooperación, que identifiquena los dueños de las relacionesy que las guíen paraadministrar el riesgoadecuadamente.

Idealmente, estas actividades deben integrarse en cada fase del ciclo de vida de la gestión de terceros. Concretamente, las organizaciones querránconsiderar la posibilidad deemprender las siguientesacciones:

1Establecer una estructura degobierno robusta con el Consejo yel Comité Ejecutivo a fin deintegrar mejores prácticas degestión de riesgos en la culturade la organización. Establecer eltono desde el Consejo Directivo.

2Identificar, clasificar y evaluar lapoblación actual de terceros a finde administrar adecuadamenteel inventario.

3Adoptar un modelo de acuerdo a la cultura de la organización.Determinar el nivel de riesgoque está dispuesta a tomar.

4Definir el propósito y las fases del marco de gestión de riesgos de terceros, así como los roles y las responsabilidades de los stakeholders.

5 6


Infundar supervisióny gobierno

Obtener una visióncompleta de su inventario de terceros

Establecer unenfoque de riesgo

Implementarpolíticas yestándares

e

s

g

o

Establecer yejecutar losprocesos TPRM

Esto debería ser permeado encada una de las fases del ciclode vida de la gestión de riesgos de terceros.

Aprovechar las nuevastecnologías paramejorar la mitigaciónde riesgos

Utilizar herramientas tecnológicaspara automatizar los procesos,analizar la información y reportarmétricas que mejoren la toma dedecisiones.

Las actividades de gestión de riesgosde terceros necesitan construirrelaciones, tener una mayorconciencia e integrar estas prácticas en los procesos cotidianos del negocio.

El involucramiento del Consejo escrítico para la aceptación de losstakeholders. Desafortunadamente,los riesgos de terceros no son untema que esté en la agenda de los consejos. Solo 22% de los encuestados reportó brechas a su Consejo, mientras 55% reportó brechas a la Alta Dirección.

“ Tenemos todo elapoyo del Consejo yde la Alta Dirección.Tenemos reunionesmensuales dedicadas a la revisión de riesgos de terceros y cómo son tratados y mitigados. Elcomité de auditoría nos apoya plenamente.”

— EMEIA, encuestados deEnergía y Servicios Públicos

Para que la gestión de riesgos deterceros sea realmente efectiva, lasorganizaciones deben contar con unaadecuada supervisión y gobierno. Unmodelo de gobierno ayudará amejorar la responsabilidad, transparencia y contribuirá a darcerteza de que funciona como fuediseñado.

El gobierno de gestión de riesgos deterceros define la visión de lascapacidades de la organización yproporciona una directriz para suejecución. El modelo operativo parasu funcionamiento diario incluye laestructura organizacional, los comités, roles y las responsabilidades para gestionar terceros. Además, elenfoque de gobierno deberáconsiderar cómo estas actividades seintegran con otras funciones degestión de riesgos.

Asignar la propiedad de lagestión de riesgos de tercerosDe acuerdo con el resultado de la encuesta, la responsabilidad de la función de gestión de riesgos deterceros suele recaer en las funcionesde cumplimiento o seguridad de lainformación. Conforme maduran lascapacidades de gestión de riesgos deterceros, otras funciones como Compras, Administración de Riesgos o Legal se irán integrando.

Las organizaciones puedencentralizar, descentralizar o teneruna estructura híbrida para gestionar las capacidades de riesgos de terceros. La estructura tiende a variar dependiendo de la cultura, el modelo operativo y la madurez de la función.

Para más de la mitad de losencuestados, la función existe desdehace tres años o menos.

La mayoría de las organizacionesoptaron por establecer las capacidadesde gestión de riesgos de terceros bajouna estructura centralizada. Alrededordel 45% de los encuestados, cuyafunción tiene tres años o más, utilizaun enfoque híbrido con áreas denegocio cada vez más involucradas enapoyar actividades centralizadas degestión de riesgos de terceros. Este ordenamiento disminuye lasredundancias y pueden ser gestionadasde forma holística. En una estructuradescentralizada, el peso recae en lasdiferentes unidades de negocio paragestionar los riesgos.Esto puede llevar a un usoinconsistente de estándares yduplicidad de recursos y trabajos.El número de recursos de tiempocompleto dedicados a la gestión deriesgos de terceros puede variar conbase en el tamaño de la organización. Por ejemplo, 40% de los encuestados con menos de 100,000 empleados tiene entre uno y cinco recursos de tiempo completo en la función. Sin em-bargo, el número de recursos dedicadosaumenta dramáticamente conencuestados de más de 100,000empleados, con 56% que reportaronque tienen más de 25 recursosapoyando a la función.

Establecer una estructura degobiernoLas organizaciones, al establecer unasupervisión efectiva y una estructura de gobierno, deben mirar su marco degestión de riesgos de terceros desde elcontexto de las tres líneas de defensa.

las tres líneas de defensa. Un modeloclaramentelas tres líneas de defensa. Un modeloclaramentedefinido de las tres líneas ayudara a que las capacidades de TPRM operen de forma eficiente al monitorear y reducir los riesgos.

Un modelo claramente definidoayuda a supervisar y reducir losriesgos.

Los empleados responsables de laprimera línea de defensa son dueñosde la relación con terceros, así comode la supervisión diaria. Se les confíala identificación, medición, el monitoreo y la generación de reportes de riesgos de las relaciones con terceros del negocio.

El equipo de la segunda línea dedefensa, diseña y es dueña del marcode gestión de terceros. Proporcionaun punto de vista basado en riesgoindependiente y guían a la primeralínea en sus responsabilidades. Aquellos responsables de la terceralínea de defensa evalúan de formaindependiente el apego al marco degestión de riesgos de terceros yproporcionan la seguridad de que elproceso funciona como fue diseñado.

El Consejo es el último responsable de los terceros, sus problemas y riesgos. Las organizaciones con capacidadeslíderes de TPRM también establecenun comité de supervisión de TPRM quereporta al Consejo.

Involucrar a los

stakeholders clave para tener éxitoLas organizaciones deben identificara los stakeholders críticos ycomprometerse adecuadamente conellos para alcanzar el éxito del TPRMen curso. También querrán buscar apoyo de los líderes de las unidades de negocio para impulsar su adopción.

Tendencias futuras:1. Los riesgos de terceros tendrán mayor atención del Consejo. Las

organizaciones usualmente proveen de información de riesgos a la AltaDirección. Sin embargo, solo algunas escalan los problemas al Consejo.Entre más organizaciones se den cuenta de que involucrar al Consejo es un factor importante para el éxito de TPRM, este será un tema relevante en su agenda.

2. Los consorcios y alianzas sectoriales seguirán transformando lafunción de TRPM. Las alianzas sectoriales y los consorcios proporcionancapacidades de gestión de riesgos repetibles que varias organizacionesdentro de un sector pueden utilizar. Los consorcios continuarán caminando hacia la función de TPRM y buscarán mitigar los riesgos mientras reducen el costo total, así como la carga en la industria y en los terceros. Casi la mitad de los encuestados indicaron que buscan obtener eficiencias al unirse con una alianza de la industria.

1.Infundir supervisión y gob iernode los encuestados opera bajo una estructuracentralizada de TPRM o desde una oficinainstitucional de TPRM.

de los encuestados mencionó que la función deTPRM ha estado en operación desde hace tres añoso menos.

42%

52%

22% de los encuestados informa las brechas a su Consejo.


Muchas organizaciones tieneninventarios incompletos, dispersos enmúltiples sistemas y áreas y carecende una fuente única. Sin embargo,antes de buscar gestionar de manera eficaz los riesgos, estas necesitanidentificar las relaciones que tienencon terceros, los responsables de larelación y clasificar su inventario deproveedores.

Identificar a los terceros y alresponsable de la relaciónPara las organizaciones que nocuentan con un inventario y quetratan de construir uno de formareactiva, pueden nivelar los datosexistentes de terceros con lasdiferentes áreas como Compras, Compliance o Legal; usando facturas, datos de pago, bases de datos de contratos y los sistemas de la organización. A pesar de que muchas empresas no cuentan con un sistema que contenga todos estos datos, pueden construir conexiones yrelaciones para alimentar un solo sistema de gestión de inventarios.

Categorizar los proveedoresLa segmentación permite a lasorganizaciones priorizar losesfuerzos y gestionar los terceros desde una perspectiva de riesgo.

Esto es especialmente cierto cuandoel número de terceros es grande yestá creciendo. Por ejemplo, uno de cada cinco encuestados tiene una población de 5,000 o más.Al nivel inicial, las organizacionessegmentan su inventario de tercerosen nuevos y existentes. Estos dosgrupos deberían ser gestionados yevaluados de manera distinta.Después de esta segmentacióninicial, las organizaciones deberánexaminar detalladamente supoblación agrupando a losproveedores en criterios másespecíficos como, por ejemplo, costoo tipo de servicio. Una vezrecopilada la información, las organizaciones deberán clasificar a los terceros con base en el nivel deriesgo.

¿Quién mantiene el inventariode terceros?

Recabar informaciónpertinente sobre los riesgosEn una organización madura, elinventario de terceros va más allá deun listado maestro de proveedoresque contenga información básica decompras y pagos. Un inventariomaduro ofrece una visión de losriesgos de cada uno de los tercerosque llegan a la organización, incluyendo información dinámica tal como descripción detallada del servicio, inicio del servicio, gastos, contratos o acuerdos, responsables de la relación y ejecutivos de la organización contratada, una lista derepresentantes y un resumen de losriesgos clave asociados con cada unode los terceros.

Mantener un inventario deterceros en tiempo realSe debe actualizar continuamente elinventario de terceros ya que estecambia constantemente, con nuevasaltas, bajas o servicios que seamplían o reducen. Mantener uninventario exacto y completo puedeservir como una base paraautomatizar el proceso. Lasorganizaciones querrán revisarlo periódicamente a fin comparar la información de los proveedores nuevos, terminados, inactivos o "clandestinos" (aquellos contratados por fuera del protocolo de contratación) contra los datos defacturación de terceros.

2.Obtenga una visión compl eta del inventario de tercerosEl enfoque más efectivo tendráinsumos directos de la gestión deriesgos, cumplimiento y de lasunidades de negocio para mantenerun inventario robusto y en tiempo real.

“Comprender losriesgos de tercerosque posee laorganización es lamitad de la batalla,pero primero hayque asegurar que elinventario esconfiable.”

— Norte América, encuestados del Sector Salud

Tendencias:La inteligencia de negocioconducirá el cambiooperacional y contribuirá amejorar la toma de decisiones. Las organizacionesutilizan cada vez más los datos de riesgos de terceros, modelospredictivos, estadísticas y visualización para generar ideas que ayuden a Compras y SupplyChain a tomar mejores decisiones. Los datos reunidos pueden ser utilizados para conducir un cambio operativo y reducir los riesgos a lo largo del ciclo de vida del proveedor.

Compras 28%

Cumpl imiento 13%

Área de negocio 12%

de los encuestados incluyó información deriesgos en elinventario.

57%

14 | Transforming your third-party risk into a competitive advantage Transformando los riesgos de terceros en ventaja competitiva | 15

Con base en el apetito de riesgo de lasorganizaciones, deberán determinar losmodelos a utilizar y los riesgos que sonimportantes. Estos deben alinearse a las estrategias de identificación de laorganización y el programa deadministración de riesgos del negocio(ERM por sus siglas en inglés).Mientras las organizaciones desarrollanuna visión clara del panorama a través de un inventario robusto, es importantediferenciar entre los terceros con base en los riesgos de las acciones que sepodrían tomar a fin de continuarprotegidos. Las empresas con mayor madurez definieron un universo de riesgos (geopolítico, de reputación, financiero, regulatorio y cumplimiento,cibernético y privacidad, operacional,estratégico, digital, continuidad delnegocio) que los ayuda a identificarqué riesgos deben ser utilizados paraevaluar la relación con terceros y elnivel de riesgo que la organización estádispuesta a tomar.La organización alimenta lainformación recopilada acerca de losterceros en los modelos que le permiten evaluar y dirigir sus esfuerzos en monitorear y gestionar aquellos riesgos altos. Estos modelos también ayudan a clasificar a los terceros con base en niveles de riesgos definidos (ej., bajo, medio, alto, crítico). Las organizaciones deberían clasificarlos con base en su inventario. El ranking de terceros dentro de losmodelos de riesgo de la organizaciónconduce las actividades desupervisión que realiza.

organización realiza.organización realiza.the monitoring activities thatorganizations perform.the monitoring activities thatorganizations perform.

3.Establecer un enfoq ue y model os de riesgo

de los riesgos de terceros fueron clasificadoscomo críticos o de alto riesgo.

59%

24%“Las organizaciones que identifican, evalúan yresponden metódicamente a los riesgos externosque tienen el potencial de impactar las estrategiasdel negocio, están mejor equipadas para definirrespuestas que reduzcan el impacto negativo mientras que ayudan a maximizar su potencial.”— EY, Insights on governance, risk and compliance: external risks, 2017

Las organizaciones deberán considerar una amplia gama de riesgos yterminar con los silos. En un mundo cada vez más digital e impulsado por la tecnología, es vital comprender y reaccionar a los riesgos de privacidad y de seguridad de la información. El 68% de los encuestados ya recaban información de los sistemas y datos retenidos por los terceros. Además, el 52% de los encuestados mencionaron que su función de seguridad de la información está involucrada en el diseño y mantenimiento del proceso de evaluación de riesgos inherentes. Sin embargo, mientras esta gestión siga evolucionando, las organizaciones con mayor madurez e inteligencia ampliarán su enfoque más allá de la seguridad de la información y el cumplimiento regulatorio y abarcarán una gama más amplia de factores de riesgo. Las organizaciones funcionarán mejor alineando la administración de riesgos del negocio, TPRM, ciberseguridad y otras funciones y capacidades para proporcionar una visión holística.

Tendencias futuras:

16 | Transformando los riesgos de terceros en ventaja competitiva Transformado l os riesgos de terceros en ventaja competitiva | 17

de los encuestados tiene tres o menos nivelesde riesgo. Entre los encuestados que cuentancon una función TPRM por más de 5 años, 87%utiliza tres o más niveles de riesgo.

Las políticas y los estándaresestablecen roles, responsabilidades yexpectativas para todos los stake-holders involucrados en las iniciativas de gestión de riesgos de terceros de laorganización, internos o externos. Sinembargo, de acuerdo con nuestraencuesta, el 70% de los encuestadoscitó que tienen dificultad para establecer procedimientos yineamientos, así como cumplir conlas políticas existentes.

El Comité Directivo debe serresponsable para cumplir con laspolíticas y los estándares e impulsarla rendición de cuentas en losstakeholders clave.Es crítico para todos los stakeholdersinternos comprender suresponsabilidad al contratar terceros,los riesgos asociados y lasconsecuencias por no cumplir con laspolíticas y los procedimientos de laorganización, a fin de alcanzar unaejecución efectiva de la gestión deriesgos de proveedores.

Las políticas y los estándares de gestión de riesgos de terceros debenindicar claramente el propósito y elenfoque,

proporcionar definiciones y términos clave relacionados, definir roles yresponsabilidades clave, destacar elmarco de gestión de riesgos deterceros, describir todas las fasesdel ciclo de vida de la gestión deriesgos de terceros, documentarel sistema(s) y los registros usados y explicar los protocolos para aquellos stakeholders que incumplen o causan problemas. Las políticas y los estándares deben ser revisados y aprobados por el equipo ejecutivo, al menos, de forma anual.

4.Implementar políticas y estándares

“Las organizaciones necesitanpolíticas y procedimientospara establecer estándares ylineamientos para gestionar losriesgos de terceros. Sin esoselementos, no se puede esperarque los recursos comprendan su rol y responsabilidad a la hora de gestionar la relación con terceros".

— Norte América, encuestados del Sector Salud

de los encuestados citaron un cierto nivelde dificultad para formalizar y establecerpolíticas, procedimientos y lineamientos, asícomo mantener un cumplimiento constantede las políticas en vigor.

70%


Las organizaciones deben aplicar unenfoque uniforme para el monitoreode los riesgos del tercero y escalar losproblemas a un nivel de supervisiónadecuado. Si una organización necesita terminar la relación con un tercero, deberá realizar una evaluación de cierre a fin de comprender el nivel de exposición deriesgo que supone el término de esa relación. Las políticas, procedimientos y estándares deberán señalar las actividades clave de TPRM para que el proceso sea comunicado e implementado en toda la organización.

Examinar los riesgos inherentesa los tercerosLas organizaciones comúnmenteevalúan los riesgos inherentes a fin dedeterminar dónde recae cada uno de losservicios en el espectro de riesgos deTPRM de la organización. Los riesgosinherentes a menudo incluyen unavisión de factores críticos tales comolos productos y la ubicación delservicio, las regulaciones relevantes, elimpacto financiero, de reputación uoperativo, la continuidad del negocio,entre otros. Empleando estainformación, un modelo puededeterminar la calificación global delriesgo inherente del proveedor. Paracalcularlo, las organizacionesdesarrollan cuestionarios para evaluarel riesgo que supone el tercero.

Buscar los riesgos residualesBasado en la calificación de los riesgosinherentes, las organizacionespueden llevar a cabo evaluaciones dediferentes niveles de riesgo residual.

Baado en la calificación de los riesgosinherentes, las organizacionespueden llevar a cabo evaluaciones dediferentes niveles de riesgo residual.

Este evalúa los controles de terceros y los factores de mitigación. Cuando son efectivos reducen el nivel de riesgoinherente asociado a los productos oservicios de terceros y disminuyen elnivel de las actividades de monitoreorequeridas, aún cuando los riesgos de los productos o servicios sean altos.

Las organizaciones pueden realizar estas evaluaciones utilizando cuestionarios profundos, visitas en sitio o reuniones telefónicas. Para los terceros clasificados como más críticos, el 37% de los encuestados indicó que su organización eligió realizar las evaluaciones en sitio. Solo el 22% realizó evaluaciones en sitio a terceros clasificados en un nivel menor a crítico. Para los riesgos altos pero no críticos, el 60% de los encuestados dijo que su organización realiza una evaluación remota con alcance total, una tendencia al alza que utiliza menos recursos con un nivel de calidad similar.

Más del 40% de losencuestados utiliza ISO como referencia y 21% utiliza un marco propio paradesarrollar sus cuestionarios.

Una vez que las organizaciones hanidentificado y evaluado los riesgos,necesitan construir los elementosbásicos para gestionarlos. Lasorganizaciones pueden trabajar conlos terceros para aceptar, remediar ymitigar estos riesgos.

Para que las políticas tengan un mayorimpacto, las organizaciones debencontar con un marco de gestión deriesgos que guíe a los dueños de lasrelaciones con terceros hacia un tratamiento más efectivo de estas y de los riesgos subyacentes.

Como se muestra en la figura 5, unproceso de gestión de riesgos efectivosigue un ciclo de vida continuo paratodas las relaciones.

El siguiente marco establece los

elementos esenciales durante todo el ciclo de vida de lagestión de riesgos de terceros. Losmarcos estándar publicados por la International Standards Organization(ISO) y el National Institute of Standards and Technology (NIST) pueden ayudar a las organizaciones a construir el marco inicial al adoptar una estructura y metodología de riesgos mundialmente aceptada.

Implementar un marco estándar es un buen inicio, pero no essuficiente para construir lascapacidades integrales de TPRM. Elmarco seleccionado necesita serajustado y mejorado de acuerdo a laindustria, competencias, misión yvisión del programa de TPRM de laorganización.

La mayoría de las organizaciones seenfoca en las actividades durante las fases de due diligence y monitoreo. Sin embargo, necesitanasumir las actividades TPRM a lolargo del ciclo de vida de la gestión de riesgos de terceros. Las funciones más desarrolladas integran los servicios y la gestión de riesgos con la política global y los procedimientos de gestión de proveedores para una ejecuciónágil.

La tercerización da inicio al proceso degestión de riesgos de terceros al

trabajar con los stakekeholders paradefinir los requerimientos del negocioy dar inicio al proceso de licitación deterceros.

Durante este proceso, sourcing realizauna evaluación de riesgos inherentespara identificar aquellos que están asociados a los terceros.

Las actividades de gestión de riesgosde terceros suceden principalmentedurante las fases de due diligence,onboarding y monitoreo, en donde lasorganizaciones seleccionan eincorporan a los terceros después decomprender los riesgos de gestionar alproveedor. Las actividades clave enesta fase incluyen la evaluación deriesgos inherentes, residuales y larespuesta ante ellos.

Este proceso no solo es para nuevosterceros, ya que también los existentes deben someterse a una evaluación para identificar su calificación y serincluidos en el monitoreo de acuerdo al nivel de riesgo.

Número de preguntas incluidas en elcuestionario de evaluación

Menos de 20 preguntas 42%

21 – 40 preguntas 35%

Más de 41 preguntas 23%

5.

"Los enfoques haciala gestión de riesgosde terceros en “silos" usualmente conducen a brechas en la gestión de contratos,programas de monitoreo duplicados y unincremento en los costos de ejecución."

— EY, Gestión de riesgos deterceros: pasando de una

obligación a una fuente deventaja competitiva, 2018

Métodos normalmente utilizados pararealizar una evaluación de riesgos deterceros para riesgos altos y críticosCríticos

37% 40% 11% 12%

Riesgos altos

22% 60% 12% 6%

Evaluación en sitio

Evaluación remota - alcance total

Evaluación remota – alcance reducido

N/A – no se realizan evaluaciones

Supervisión y gobierno

Act

ivid

ades

cla

ve

• Definir losrequerimientos delnegocio

• Crear el caso de negocio

• Aprobar el proyecto

• Identificar tercerospotenciales

• Realizar evaluación de riesgo inherente

• Inicio del RFX

• Identificar a los dueños de la relación

•Verificar requisitosregulatorios y decumplimiento

• Realizar laevaluación de riesgo

• Evaluar larespuesta del tercero

•Identificar a losterceros actuales

• Recomendaciones

• Selección deterceros

• Onboarding deltercero

• Transición de losservicios al tercero

• Documentar lasestrategias de salida

(de aplicar)

• Establecer el ciclode monitoreo:

• Gestión de riesgos • Gestión de servicios

• Ejecutar estrategiasde salida

• Evaluar riesgos desalida

• Retorno de lainformación/equipo

• Confirmación legalde la destrucción dela información

Adquisición Due diligence Contratación Onboarding Monitoreo Terminación

Políticas, procedimientos y estándares

Nota: En bold los temas relacionados con la Gestión de Riesgos de Terceros Figura 5: Actividades clave TPRM


Establecer y ejecutar el proceso de gestión de riesgos de terceros

• Evaluar y supervisarlos riesgos

• Gestión de servicios

• Revisión de riesgocontractual

• Gestión de problemas

• Tratamiento delriesgo (aceptación)

• Planificación deacciones

• Monitoreo de hallaz-gos, remediaciones ytratamiento de riesgos

• Negociación

• Establecer lostérminos decontratación y elacuerdo de nivel deservicios (SLA)

• Revisar lostérminos del contratoy SLA

• Aprobar contrato,revisión y firma de

legal• Manejo de registrosde terceros

En un mundo impulsado por latecnología, las capacidades de gestiónde riesgos de terceros necesitan incluirherramientas tecnológicas quepermitan automatizar los procesos yanalizar la información que generan lasactividades de gestión de riesgos deterceros. Muchas compañías siguenusando hojas de Excel y procesosmanuales para mantener y reportar suinventario así como el proceso deriesgos de terceros. Las organizacionesestán utilizando soluciones en sitio ySoftware as a Service (SaaS por sussiglas en inglés), aunque son más lasque se inclinan por SaaS, una soluciónmás eficiente y rentable.

Elegir la tecnología adecuadaEn general, las organizaciones estánbuscando tecnología para la gestiónde riesgos de terceros que lesofrezca eficiencia en costos yadaptabilidad para satisfacer a unacreciente población de terceros. Latecnología también necesitaintegrarse perfectamente con otrossistemas de la organización y tenerun diseño e interfaz intuitiva yamigable. Aunque no existe unsistema favorito, tratándose deherramientas tecnológicas, el 12%reportó utilizar SAP y el 13% eligióotras herramientas.

Aumentar la eficienciaLa automatización de procesos a través derobots (RPA) está introduciendoinnovaciones de alto impacto en laindustria permitiendo a las organizacionesdisminuir considerablemente los tiemposde ejecución de los procesos y aumentandoal mismo tiempo el volumen deevaluaciones. Además, RPA puede ayudara las operaciones a eliminar las tareasmanuales, actividades repetitivas y losretrasos en los procesos. De esta forma,las organizaciones pueden enfocar sutiempo en construir el inventario de riesgosde terceros para incluir todos los tipos deriesgos, como seguridad, geopolítica,finanzas, regulaciones y reputación.

Funciones Archer onpremises

SAP/Ariba Oracle BWise Hiperos ProcessUnity Prevalent NingunaArcher VRMcloud

Sourcing activity 4% 0% 24% 11% 0% 1% 0% 0% 12% 48%

Evaluación riesgoinherente 1% 1% 4% 1% 2% 5% 4% 1% 13% 68%

Repositorio decontratos 0% 0% 18% 6% 0% 0% 0% 0% 16% 60%

5% 0% 12% 7% 0% 1% 1% 0% 13% 61%

6% 1% 2% 0% 0% 2% 4% 0% 13% 72%

Herramienta de gestión de respuesta a riesgos

7% 2% 4% 0% 1% 1% 4% 0% 13% 68%

Reporte de resultadosLas organizaciones pueden hacer usode reporte en tiempo real a fin deactualizaciones oportunamente alnegocio, alta dirección y al consejo.Algunas de las organizaciones másrobustas son capaces de desglosar elinventario de terceros al reportartemas de riesgos en común dentro dela comunidad y tipos de servicios delos terceros. Esta informaciónpermite a las organizacionesproporcionar detalles al área decompras y legal para que puedanidentificar estos riesgos al inicio delcontrato.

Actualmente, solo 34% de losencuestados cuentan coninformación bajo demanda paraterceros críticos; solo 28% puedenreportar el tratamiento de los riesgosde la misma forma.

El siguiente paso para lasorganizaciones será apalancar latecnología para modelos predictivos(ej. muestren áreas de riesgosemergentes), estadísticas en tiemporeal que permitan a la direcciónenfocar los presupuestos en las áreasadecuadas y visualización que leproporcione a los líderes de gráficassimples e intuitivas para una mejortoma de decisiones. Lasorganizaciones que inviertan entecnología para información entiempo real y automatización estaránun paso adelante de lasorganizaciones que aun dependen delas actividades manuales. Lasiguiente gráfica muestra lascapacidades con las que cuentan lasorganizaciones para reportar losriesgos de terceros.

Aprovechar las nuevas tecnologías paramejorar la mitigación de riesgos6.

La capacidad de los encuestadospara informar los siguientesaspectos de la función de gestión de riesgos de terceros:

Bajo demanda

En una semana

> una semana

No puede reportar

Población de terceros críticos

34% 26% 32% 8%

Seguimiento al tratamiento de los riesgos

28% 22% 29% 21%

Scorecard/perfil de riesgos en todos losdominios aplicables de riesgo y desempeño

15% 21% 36% 28%

Un movimiento tectónico en la tecnología llevará a la gestión de riesgosde terceros de manual a automático.Mientras la industria de gestión de riesgos de terceros siga la creciente oladigital de tecnologías en sitio hacia aquellas soluciones basadas en la nube y en plataformas SaaS, los procesos manuales y las hojas de cálculo daránlugar a la automatización y analytics. El beneficio de la automatización yanalytics en tiempo real, incluye una reducción de costos, mejora en laproductividad, alta disponibilidad y confiabilidad, así como un crecimientoen el desempeño. Estos beneficios superan los costos de adquisición deestas tecnologías, una oportunidad que buscan y aprovechan lasorganizaciones.

“La tecnología nos hapermitidosimplificar losprocesos, digitalizarinformación paraayudar a lasorganizaciones atomar decisionesinformadas denegocio y conectarse mejor con las fuentesexternas yproveedores deinformación.”

— EMEIA, encuestados del sector salud


Desarrol lointerno

Tendencias futuras:

Inventario principal de riesgos

Inventario principal de riesgos

Perfil del encuestador

Total 101

Por industria %

Productos de consumo y minoristas 19 19%

Tecnología 17 17%

Ciencias de la vida 11 11%

Salud 9 9%

Entretenimiento y medios 9 9%

Telecomunicaciones 6 6%

Energía y otros servicios 5 5%

Productos industriales 5 5%

Gobierno y sector público 3 3%

Otros* 17 17%

Por región

Norte América 72 72%

Europa, Medio Oriente y África (EMEIA) 23 23%

América del Sur 4 4%

Asia Pacífico (APAC) 2 2%

Por tamaño de l a organización

Menor a 24,999 63 62%

25,000 a 50,000 16 16%

50,001 a 100,000 13 13%

Mas de 100,000 9 9%

* Industrias como petróleo y gas. Servicios de RH, minería y metales, automotriz, logística,químicas, bienes raíces, hospitalidad y construcción fueron agrupadas como “Otras” debidoal tamaño insuficiente de la muestra.Los números podrían no sumar 100% debido al redondeo.

Contactos

José RábagoSocio Líder de [email protected]

Gonzalo NúñezSocio de Servicios Financieros | [email protected]


EY realizó una encuesta a 101organizaciones encuestadas alrededordel mundo y a lo largo de variasindustrias, cada una con una funciónpara gestionar los riesgos deproveedores. Estas industrias incluyenpero no están limitadas a productosde consumo y minoristas, ciencias dela vida, salud, entretenimiento ymedios, tecnología, energía y otrosservicios, productos industriales,gobierno y sector público.

En esta encuesta, le pedimos a losencuestados responder las preguntascon áreas clave de sus respectivosprogramas de gestión de riesgos deterceros. Los temas incluyeronestructura del programa, inventariode terceros, evaluación de riesgos deterceros, cuestionarios de riesgos,gestión de hallazgos, ciberseguridad yretos futuros.

Para reunir una visión más amplia,realizamos entrevistas de seguimientocon algunos encuestados, abordandotemas tales como impulsores de éxito,modelos operativos, involucramientodel consejo, uso de tecnología einversiones planeadas para susprogramas y funciones de gestión deriesgos de terceros.

Extendemos un agradecimiento anuestros encuestados por el tiempodedicado para compartirnos susexperiencias.

Nuestra metodología de encuesta

Jesús MalagónSocio | Transformación de [email protected]

Ramón KuriDirector Ejecutivo | Transformación de [email protected]

Rafael TrujilloGerente Senior de Servicios Financieros | [email protected]

Pedro SandovalGerente | Transformación de [email protected]

FJ915GF

Stamp

FJ915GF

Stamp

FJ915GF

Stamp

FJ915GF

Stamp

FJ915GF

Stamp

Acerca de EYEY es líder global en servicios de aseguramiento, asesoría, impuestos y transacciones. Las perspectivas y los servicios de calidad que entregamos ayudan a generar confianza y seguridad en los mercados de capital y en las economías de todo el mundo. Desarrollamos líderes extraordinarios que se unen para cumplir nuestras promesas a todas las partes interesadas. Al hacerlo, jugamos un papel fundamental en construir un mejor entorno de negocios para nuestra gente, clientes y comunidades.

Para obtener más información acerca de nuestra organización, visite el sitio

www.ey.com/mx

© 2018 Mancera S.C.Integrante de Ernst & Young GlobalDerechos Reservados EY se refiere a la organización global de firmas miembro conocida como Ernst & Young Global Limited, en la que cada una de ellas actúa como una entidad legal separada. Ernst & Young Global Limited no provee servicios a clientes

EY | Aseguramiento | Asesoría de Negocios | Fiscal-Legal | Fusiones y Adquisiciones

/EYMexico

@EYMexico

company/ernstandyoung

/eymexicooficial

¿Puedes transformar los riesgos de terceros en una ventaja ... · 8 | Transormando los riesgos de...

Documents

Transcript of ¿Puedes transformar los riesgos de terceros en una ventaja ... · 8 | Transormando los riesgos de...