BLOG

Destacado

Gestionar los riesgos de terceros

Gestionar los riesgos de terceros: pasos para llevarlo a la pr谩ctica

Gestionar los Riesgos de Terceros siempre ha sido importante, pero la globalizaci贸n y el aumento de la subcontrataci贸n conceden mayor importancia a esta tarea en la Gesti贸n de Riesgos de las organizaciones modernas.

Recientemente, abordamos en un art铆culo la importancia de la gesti贸n de riesgos de terceros, lectura que es recomendable revisar para articular con mayor facilidad el tema sobre Gestionar los Riesgos de Terceros y c贸mo llevarlo a la pr谩ctica.

Matric煤late ahora Diplomado Risk Manager

Gestionar los riesgos de terceros – 驴C贸mo llevarlo a la pr谩ctica?

La gesti贸n de riesgos de terceros tiene un ciclo de vida. Esto significa que los riesgos pasan por diferentes etapas en un proceso que pretende eliminar la mayor铆a, mitigar otros, compartir algunos y tolerar el menor n煤mero posible.

Hemos identificado ocho pasos que debemos dar para gestionar los riesgos de terceros, desde el mismo punto en el que se establece la relaci贸n con el proveedor, contratista o subcontratista, que ser谩n b谩sicamente los terceros que consideraremos para este efecto, hasta que esa misma relaci贸n deja de existir.

Estos ocho pasos o fases describen un ciclo de vida de lo que tambi茅n se conoce como gesti贸n de relaciones con terceros. Conozcamos estas etapas:

1. Conocer e identificar al tercero

Usualmente, las organizaciones cuentan con una base de datos o, por lo menos, un listado de proveedores, contratistas y subcontratistas. La informaci贸n proveniente de un CRM, por ejemplo, resulta muy valiosa para cumplir con este objetivo de identificar claramente al tercero.

Los contratos suscritos con ellos y la realizaci贸n de encuestas y entrevistas tambi茅n resultar谩n muy 煤tiles en este momento. B谩sicamente, esta es la informaci贸n que se pretende recopilar:

  • Informaci贸n espec铆fica del proveedor.
  • Su direcci贸n f铆sica.
  • Sector en el que opera.
  • Tipo de relaci贸n comercial que se ha establecido con esa organizaci贸n o profesional.
  • Monto de las operaciones.
  • Nombres de los contactos y miembros de la Alta Direcci贸n.
  • Historial de transacciones.
  • Informaci贸n de contacto (e-mail, tel茅fonos, sitio web).
  • Certificaciones que ostenta.
  • Requisitos para el manejo de la privacidad de la informaci贸n.

Esta informaci贸n ser谩 suficiente para identificar a los terceros, clasificarlos y hacer una primera priorizaci贸n de ellos.

2. Evaluar y seleccionar los terceros

Con base en la informaci贸n obtenida, la organizaci贸n eval煤a y selecciona los proveedores con los que trabajar谩, considerando las necesidades, las ventajas y aspectos que ayuden a minimizar el riesgo, como las certificaciones, por ejemplo.

3. Realizar la evaluaci贸n de riesgos

Aqu铆 inicia formalmente la gesti贸n de riesgos de terceros. Los profesionales har谩n uso de las herramientas y modelos de evaluaci贸n conocidos, pero adicionalmente tratar谩n de compartir informaci贸n sobre los terceros con otras organizaciones. Algunas de ellas ya habr谩n hecho la tarea, y aunque no se puede incorporar ese trabajo de forma directa, s铆 se puede encontrar en 茅l informaci贸n muy valiosa.

4. Tratar los riesgos

Con la evaluaci贸n de riesgos en mano, inicia la tarea de tratar los riesgos. Gestionar los riesgos de terceros en esta etapa significa categorizarlos de acuerdo con su impacto negativo o su probabilidad de ocurrencia.

Es en este momento en el que tambi茅n se considera el apetito de riesgo de la organizaci贸n. Si tratar un riesgo resulta demasiado costoso o implica dejar de aprovechar claras oportunidades comerciales, es probable que lo mejor sea admitirlo, y para ello, es preciso haber definido el apetito de riesgo de la organizaci贸n.

Vinculado con esto 煤ltimo, est谩 la definici贸n del nivel de riesgo residual admisible y la implementaci贸n de controles para alertar sobre la inminencia del alcance de los niveles de riesgo admisibles.

5. Alinear la gesti贸n de compras, adquisiciones y contrataciones

Gestionar los riesgos de terceros tiene unos prop贸sitos pr谩cticos inmediatos que inciden en la contrataci贸n de la organizaci贸n y en la gesti贸n de compras y adquisiciones. No tendr铆a sentido el trabajo de los profesionales del 谩rea de riesgos si su labor no estuviese alineada con los procesos de contrataci贸n, compra y adquisici贸n.

El primer aspecto en el que la gesti贸n de riesgos alcanza la gesti贸n de compras, adquisiciones y contrataciones es la redacci贸n de los contratos con proveedores de productos y servicios. En las cl谩usulas, adem谩s de los puntos obvios, se considerar谩:

  • La propiedad intelectual.
  • Cl谩usulas de incumplimiento o rescisi贸n.
  • Garant铆as.
  • Confidencialidad de la informaci贸n.
  • Indemnizaciones.
  • L铆mites de las responsabilidades.
  • Seguros.
  • Acuerdos para procesamiento de datos.
  • Protecci贸n de datos.
  • Cambio de proveedores de tercera o cuarta l铆nea.
  • Indicadores de cumplimiento.
Las organizaciones tambi茅n deben gestionar los riesgos de terceros, sobre todo cuando estos tienen importancia estrat茅gica. Aprende c贸mo hacerlo #RiskManager #Gesti贸nRiesgos #ISO31000 锘緾lic para tuitear

6. Implementar indicadores de rendimiento de la gesti贸n

No es posible el control de aquello que no se mide. Gestionar los riesgos de terceros es una tarea que no se aparta de este principio, y de ah铆 la importancia de mantener registros detallados y auditables sobre toda la gesti贸n y sus resultados.

Algunos datos que se espera est茅n disponibles siempre son:

  • N煤mero de proveedores y contratistas activos.
  • Listado de proveedores y contratistas priorizados.
  • Resultado de las evaluaciones de riesgos aplicadas a cada proveedor o contratista.
  • Estado de los contratos con cada proveedor (vencidos, vigentes, nulos, no cumplidos鈥).
  • Riesgos identificados agrupados de acuerdo con su impacto negativo o probabilidad.
  • Riesgos para cada etapa del proceso de contrataci贸n.
  • Historial de riesgos, ocurrencia, impacto y resultados.
  • Medidas de prevenci贸n aplicadas y sus resultados.
  • Medidas de monitoreo implementadas y sus resultados.

7. Monitorear la gesti贸n de forma constante

Gestionar los riesgos de terceros es una tarea continua y c铆clica. A煤n despu茅s de analizar y tratar los riesgos que implica un tercero determinado, la posibilidad de que aparezcan nuevas amenazas est谩 siempre presente.

Cambios de regulaciones, obtenci贸n de nueva informaci贸n, noticias sobre sanciones o litigios judiciales, entre otras, son circunstancias que obligan a monitorear de forma continua la gesti贸n de riesgos de terceros. Algunos eventos puntuales a tener en cuenta al Gestionar los Riesgos de Terceros son:

8. Retiro del proveedor

Gestionar los riesgos de terceros, como hemos comentado, es una tarea que tiene alcance durante todo el ciclo de vida del proveedor, esto es desde que inicia la relaci贸n, hasta que esta se extingue.

Desvincular un proveedor es el 煤ltimo paso en la historia de la relaci贸n comercial, pero tambi茅n de gesti贸n de riesgos. Es preciso asegurar que se toman todas las medidas necesarias para salvaguardar la informaci贸n, se conservan los registros hist贸ricos, se crea un registro 煤nico sobre el evento en el que se adjunta una evaluaci贸n general del proveedor, se incorpora un concepto sobre la elegibilidad o no en un futuro como contratista o proveedor鈥

Una lista de verificaci贸n es la mejor elecci贸n para asegurar un proceso completo de baja exitoso y seguro. Lo importante es que todo se documente y se cuente con la informaci贸n necesaria para auditar o inspeccionar la gesti贸n.

Diplomado Risk Manager

Gestionar los riesgos de terceros, como muchas otras actividades en el 谩rea, requerir谩 la participaci贸n de profesionales con los conocimientos apropiados. El Diplomado Risk Manager es un programa de excelencia que, adem谩s de ofrecer estos conocimientos, trabaja desde experiencias pr谩cticas reales, y recursos gratuitos como modelos de evaluaci贸n, plantillas, manuales y una gran cantidad de importantes y exclusivos documentos elaborados por los m谩s reconocidos profesionales a nivel internacional.

Si quieres formarte para gestionar y auditar Sistemas de Gesti贸n de Riesgos en Europa y en cualquier pa铆s de Am茅rica Latina, la Escuela Europea de Excelencia te apoya por medio del Programa de Becas Excellence.

Pero si lo prefieres, puedes proyectar tu carrera hacia el futuro ahora mismo.

Nueva llamada a la acci贸n
Leer m谩s
Mantener sistemas de gesti贸n ISO

Mantener sistemas de gesti贸n ISO: gu铆a para cumplir con los requisitos de mejora continua

Mantener sistemas de gesti贸n ISO es uno de los aspectos m谩s importantes para cumplir con los requisitos y mantener la certificaci贸n de las normas ISO. El mantenimiento de los sistemas de gesti贸n no es un documento que se escribe una sola vez y se lee de forma ocasional, sino una labor en constante evoluci贸n.

A continuaci贸n, explicamos la importancia de esta tarea, qu茅 tipo de actividades realizar, y con qu茅 frecuencia, para mantener sistemas de gesti贸n ISO.

Leer m谩s
ISO 27701

El futuro de la privacidad: ISO 27701 de Gesti贸n de Informaci贸n de Privacidad

En 2019, la Organizaci贸n Internacional de Normalizaci贸n y la Comisi贸n Electrot茅cnica Internacional IEC, trabajaron en el proyecto de un nuevo est谩ndar que hoy se conoce como ISO 27701. El objetivo principal de este trabajo era ofrecer a las organizaciones un nuevo elemento para potenciar la capacidad de la ya reconocida ISO 27001, para cumplir con lo dispuesto en normativas como GDPR.

Hoy, tres a帽os m谩s tarde, ISO 27701 se constituye en el pilar para muchas organizaciones que esperan, de la mano de ISO 27001, alcanzar la conformidad con GPDR. Pero lo cierto es que a pesar de haber sido publicada hace tres a帽os, la norma ISO 27701:2019 no ha tenido la difusi贸n esperada.

Leer m谩s
Obtener la certificaci贸n ISO 37001

Obtener la certificaci贸n ISO 37001: 5 preguntas para saber si la organizaci贸n est谩 preparada

Obtener la certificaci贸n ISO 37001 es la forma de comprobar frente a terceros que la organizaci贸n, su Alta Direcci贸n y sus empleados, est谩n comprometidos con la honestidad, la 茅tica, la transparencia y las mejores pr谩cticas para hacer negocios.

Implementar el sistema de gesti贸n anticorrupci贸n es importante. Pero, hasta obtener la certificaci贸n ISO 37001, las partes interesadas tendr谩n que creer en la palabra de la organizaci贸n.

La certificaci贸n comprueba sin lugar a dudas, para todas las personas u organizaciones, que se cumplen los procesos y procedimientos reconocidos a nivel mundial, considerados por el est谩ndar generalmente aceptado para la transparencia empresarial y el buen gobierno.

Leer m谩s
evaluar la mejora continua en ISO 9001

C贸mo evaluar la mejora continua en ISO 9001: gu铆a pr谩ctica para la auditor铆a

ISO 9001 requiere la mejora continua del Sistema de Gesti贸n de la Calidad, seg煤n la cl谩usula 10.3. Evaluar la mejora continua en ISO 9001 es entonces una necesidad para la organizaci贸n, pero tambi茅n lo es para el auditor interno y para el auditor de certificaci贸n.

Textualmente, la cl谩usula indica que 鈥la organizaci贸n debe mejorar continuamente la conveniencia, adecuaci贸n y eficiencia del SGC鈥. Luego ampl铆a el texto informando que se debe revisar, analizar y evaluar el sistema, y tener en cuenta los resultados de la revisi贸n de la Alta Direcci贸n, con el fin de establecer si existen necesidades u oportunidades que tengan que ser consideradas como parte de la mejora continua.

Leer m谩s
estudiar seguridad y salud en el trabajo

Por qu茅 estudiar seguridad y salud en el trabajo: una profesi贸n de futuro

Estudiar seguridad y salud en el trabajo representa hoy una gran oportunidad de obtener una posici贸n de liderazgo en una empresa, pero tambi茅n de aumentar el abanico de salidas laborales, en un mercado laboral que sabemos es muy competitivo.

El 谩rea de seguridad y salud en el trabajo ofrece la posibilidad de desarrollar una carrera gratificante, porque se trata finalmente de brindar bienestar, seguridad, salud y confort a los trabajadores.

Leer m谩s
Gesti贸n de riesgos de terceros

Gesti贸n de riesgos de terceros: importancia y buenas pr谩cticas para llevarla a cabo

Los v铆nculos que establece la organizaci贸n con terceros implican un factor de riesgo. La gesti贸n de riesgos de terceros identifica y trata las eventualidades que pueden afectar a la organizaci贸n, por causa de su relaci贸n con proveedores, socios, inversores, concesionarios, contratistas, entre otros.

La gesti贸n de riesgos de terceros ayuda a la organizaci贸n a comprender qu茅 hacen las personas u organizaciones con las que establece relaciones, c贸mo lo hacen y de qu茅 forma esas acciones pueden afectar su capacidad para lograr objetivos comerciales vigilando las 谩reas de riesgo cr铆ticas.

Leer m谩s
Evaluaci贸n de riesgos de cumplimiento

Evaluaci贸n de riesgos de cumplimiento: 5 pasos para realizarla

Realizar una evaluaci贸n de riesgos de cumplimiento es la primera, y una de las m谩s importantes tareas que se le asigna a un oficial de cumplimiento. Con la proliferaci贸n de regulaciones globales, la presi贸n a la que est谩n sometidas las organizaciones aumenta y para cumplir con lo estipulado por los organismos reguladores, as铆 como las expectativas de clientes y otras partes interesadas, los profesionales del 谩rea deben asegurarse de cubrir todos los puntos vulnerables.

La tarea inicia con una evaluaci贸n de riesgos de cumplimiento. Desde una definici贸n muy general, se trata de identificar las situaciones, circunstancias, procesos o procedimientos en los que por una u otra causa se pueden presentar incumplimientos de obligaciones legales, reglamentarias o contractuales.

Leer m谩s
gesti贸n de sistemas integrados

5 Beneficios que aporta la gesti贸n de sistemas integrados m谩s all谩 de la reducci贸n de costes

La gesti贸n de sistemas integrados aporta importantes beneficios a las organizaciones que la adoptan. La reducci贸n de costes, derivada de la eliminaci贸n de esfuerzos repetidos, es el argumento m谩s utilizado para promover un proyecto de integraci贸n de sistemas de gesti贸n.

Una gesti贸n de documentos simplificada, la eliminaci贸n de procesos y procedimientos duplicados, la realizaci贸n de una 煤nica auditor铆a integrada, la centralizaci贸n de responsabilidades o la reducci贸n de la burocracia son algunos de los factores que permiten beneficiarse de la gesti贸n integrada de sistemas ISO y optimizar los costes.

Leer m谩s