Los aspectos prácticos: Gestión de riesgos de terceros

El modelo de negocios de principios del siglo 20^th representaba una empresa grande, integrada que poseía, administraba y controlaba directamente sus recursos. Mientras que algunas adquisiciones no estaban fuera de alcance, gran parte de la creación de valor debía ocurrir dentro de la empresa. En las últimas décadas del siglo 20^th, la externalización surgió como una maniobra estratégica, táctica y operativa. Las razones para subcontratar variaron y se hicieron más sofisticadas con el tiempo, incluyendo la necesidad de:

• Reducir y controlar los costos
• Mejorar el enfoque de la empresa que es cliente
• Obtener acceso a capacidades de clase mundial; incrementar los recursos internos para otros fines
• Compartir el riesgo y las recompensas con el proveedor¹

Específicamente en el área de servicios de software, la complejidad de las relaciones aumentó a medida que el foco en el valor esperado de los servicios creció, desde la eficiencia a la mejora y de ahí a la transformación.² Dependiendo de la criticidad de la relación en la creación de valor y el riesgo asociado, para todos los propósitos prácticos, la tercera parte se convirtió en un impulsor integral del destino de la empresa que contrata. Estas relaciones a veces se clasifican en términos de estructura (por ejemplo, colaboración, alianza, asociación, empresa conjunta) y, en otros casos, enfatizan la naturaleza de los productos o servicios (por ejemplo, administración de instalaciones, servicios de recursos humanos, mantenimiento de software, logística/bodega/distribución).

Los líderes empresariales han reconocido que la subcontratación es esencial para mantenerse competitivos. En una encuesta, el 90 por ciento de las empresas consultadas mencionaron la externalización como crucial para sus estrategias de crecimiento.³ Este ímpetu sigue ganando más fuerza ya que la ventaja comparativa de colaborar en diversas formas en todo el mundo es claramente visible y notablemente eficaz. Con el tiempo, a medida que el cliente se vuelve más dependiente del proveedor, la oportunidad de que los riesgos del cliente sean expuestos por el proveedor también aumenta. Cuando esto sucede, la importancia de la tercera parte disminuye mucho, porque los clientes ven que la relación está más estrechamente vinculada a su propio destino de lo previsto. Es como si una parte crucial del éxito del negocio ahora resida en la organización del proveedor, haciendo que el proveedor sea más bien un “empleado más”. Si algún riesgo se materializa en el nivel del proveedor, dependiendo de la naturaleza de la relación, los efectos en cascada del compromiso podrían afectar al cliente también. Esto se considera una forma de “herencia de vulnerabilidad” aún no tratada o desconocida, desencadenando una mayor conciencia de riesgo en el nivel del cliente.⁴ Siempre han existido los riesgos en acuerdos con terceros, en cualquiera de sus formas, pero la mezcla en términos de tipos y gravedad de los riesgos, ha estado cambiando, dando lugar a una reevaluación de la relación cliente-proveedor, principalmente desde la perspectiva de la gestión de riesgos. Por lo tanto, el término “administración de terceros” ahora es considerado más claramente como gestión de riesgos de terceros (TPRM, del inglés: third-party risk management).

El riesgo heredado de la TPRM incluye el riesgo financiero y operacional. El ciberespacio y la conectividad asociada agregan nuevos riesgos (o un mayor riesgo heredado), como la continuidad del negocio, la seguridad de los datos y riesgo normativos y de cumplimiento. Por lo tanto, el enfoque de las subcontrataciones complejas converge en gran medida a la administración de la exposición al riesgo de la relación. Los objetivos de la TPRM pueden incluir, por ejemplo, impactar favorablemente las consecuencias de la violación de datos, reducir el riesgo de fallas operacionales en una cadena de suministro, monitorear continuamente la estabilidad financiera de los proveedores y evaluar el riesgo de gobernanza y divulgación de información ante requerimientos legales.

Metodología de la TPRM

En términos generales, cualquier programa de gestión de riesgos es tridimensional. Incorpora personas (organización), procesos (operaciones) y tecnología (sistemas de información). Cada uno de ellos es importante para los objetivos de la TPRM y juega un papel importante en el logro del resultado deseado.⁵ La metodología de la TPRM que acá se comenta incorpora las tres dimensiones.

Para incorporar la exposición al riesgo en los entornos de la TPRM, las empresas clientes consideran al proveedor como un objetivo a ser evaluado al momento de incorporarlo, así como también de forma continua después. Para ello, la empresa cliente debe:

1. Establecer disposiciones contractuales (por lo general, en el acuerdo de nivel de servicio [SLA]) para abordar los compromisos relacionados con el riesgo
2. Conjugar el portafolio de riesgos del proveedor con el portafolio de riesgos del acuerdo
3. Prepararse para un monitoreo dinámico y evaluación de riesgos basados en eventos internos/externos
4. Implementar y utilizar enfoques de monitoreo tanto tradicionales como innovadores para el monitoreo continuo de los factores de riesgo identificados
5. Aprovechar soluciones tecnológicas para integrar las adquisiciones, el desempeño y la gestión de riesgos en una plataforma unificada⁶

El SLA en el primer paso, incluiría el derecho del cliente a auditar y la responsabilidad por los costos relacionados, la inscripción del proveedor en la plataforma de servicios públicos TPRM acordada, los incentivos para una gestión proactiva del riesgo por parte del proveedor y los requerimientos para las coberturas de los seguros de las áreas de riesgo en el proveedor. Un portafolio completo de riesgos de un proveedor para una organización es el resultado de la agregación del riesgo inherente al acuerdo por el cual se contrata al proveedor y el riesgo inherente del portafolio del proveedor. Ayuda a enfocarse en el subconjunto correcto de proveedores para una TPRM eficaz y eficiente.

Una evaluación continua del riesgo a medida que se desarrollan los eventos es importante para la gestión dinámica del riesgo. Esto probablemente se lleve a cabo mediante actividades de monitoreo continuo. Como sugiere el paso final, todo el esfuerzo puede ser demasiado complejo para dejarlo en soluciones tecnológicas fragmentadas; una plataforma integrada habilitada por TI, sería la forma más eficaz de generar un programa de TPRM exitosa. La figura 1 muestra una visión general de una metodología TPRM.

TPRM y tecnología de información

El ascenso de la TPRM como un desafío probablemente se debe al ahora bien conocido hackeo a Target. Mientras que el compromiso basado en TI de Target elevó a la TPRM a nuevas alturas en el dominio de la seguridad de la información, muchas áreas adicionales (por ejemplo, cadena de suministro y logística) también se gestionan a través de TPRM.⁷ Y esto, por lo tanto, conduce a la necesidad de confianza entre la organización cliente y sus partes interesadas, incluidos los proveedores. Presumiblemente, cuanto mayor es la criticidad del servicio, mayor es la necesidad de confianza, al igual que en la autenticación de personas o dispositivos. Sin confianza, no se puede considerar que exista mucho equilibrio en la relación. Cuando Amazon no puede encontrar suficiente capacidad de transmisión digital entre las 11:00 p.m. y las 2:00 a.m. para servir a los clientes de Netflix, ¿podría Netflix ser capaz de confiar en Amazon? Cuando tales preguntas se resuelven dinámicamente, la confianza cliente-proveedor se solidifica y sigue apoyando una cadena de suministro interorganizacional y sinérgica.

Las relaciones de confianza ágiles y eficaces se basan en prácticas de gobernanza, pero la mayoría de las organizaciones que trabajan con terceros “no tienen un plan coherente para la gestión continua de la relación y de los servicios que se proveen. A menudo se supone que el contrato y los diversos acuerdos de servicios ... serán autogestionados y que invertir en los procesos de gobernanza durante la vida útil del contrato es innecesario”.⁸ Dado el creciente alcance y complejidad de la TPRM, como último paso en la metodología sugerida de TPRM, una plataforma integrada habilitada por TI, serviría mejor a los objetivos de la TPRM.

¿Por qué un cliente necesita una plataforma integrada de adquisición, desempeño y gestión de riesgos? La razón es que los nuevos problemas y retos a menudo no encajan muy bien con los viejos formatos. Un percance en el tercero proveedor puede significar un nuevo riesgo para el buscador de servicios. Para abordar dinámicamente el escenario de riesgo cambiante, es necesaria una plataforma integrada de gestión de riesgos. Mientras que los estándares ayudan a guiar la implementación de tales plataformas, Statement on Standards for Attestation Engagements (SSAE), 16/International Standard on Assurance Engagements (ISAE) 3402 (las normas revisadas para el SAS 70 anterior) conocen los desafíos de cubrir una gran población de terceros y la eficiencia desde el punto de vista del tiempo y los costos. No importa cuán robustos sean estos estándares de aseguramiento, las dependencias interorganizacionales son únicas, y particularmente singulares, al punto en que la solución requiere una debida diligencia personalizada. Una solución contractual compartida entre todos los proveedores puede no ser suficiente, ya que “nada en las operaciones comerciales permanece en un estado estable ...”.⁹ Una cláusula de fuerza mayor en el SLA no evita que alguna de las partes cause desastres.

Algunas respuestas

En relaciones clave donde la viabilidad continua de la relación se basa en la vigilancia y desempeño superior de la organización cliente, las estrategias de salida no funcionan. La mayoría de los terceros tienen un impacto en el destino de la organización cliente; no son adversarios. Los desafíos de gestión de riesgos interorganizacionales de hoy en día son más complejos de lo que un documento de SLA extenso y elaborado puede manejar eficazmente. Por otra parte, la confianza se obtiene no sólo en la tecnología, sino también en diversas disciplinas relacionadas, y estos solo pueden ser efectivamente obtenidos a través de equipos multidisciplinarios responsables por la relación. Además, un enfoque holístico es probablemente más efectivo, donde las organizaciones examinen las políticas, el perfil de gestión de riesgos y la historia relacionada, los planes de continuidad de negocio y ejercicios de recuperación recientes, y la capacidad mantener la continuidad tanto financiera como operacional. Este tipo de monitoreo integral del riesgo de un proveedor requiere un escaneo y monitoreo continuo por parte del equipo encargado en un panel de control bastante bien delimitado.

Los SLAs, aunque no son una solución completa para un programa holístico de TPRM, se han utilizado como el enganche principal en la definición del compromiso para gestionar del riesgo por parte del proveedor. Los SLA ampliados incluyen cláusulas como el derecho del cliente a auditar y pueden especificar el alcance de la auditoría, el proceso de auditoría, la frecuencia de las auditorías e incluso los desencadenadores que pueden requerir una auditoría no programada. Dichos compromisos contractuales se traducen en actividades planificadas de seguimiento del riesgo que permiten evaluar y revisar continuamente la TPRM.

Dada la compleja relación cibernética con terceros, la nueva dirección utiliza el perfilamiento de riesgo dinámico para rastrear el riesgo de compromiso relevante. Los clientes buscan datos financieros (y no financieros) respecto del proveedor, provistos por ellos mismos y desde fuentes externas (por ejemplo, Thomson Reuters). El monitoreo del proveedor puede involucrar el aprendizaje automático y el análisis predictivo¹⁰ que “se empapa” rápidamente de datos emergentes respecto de la actividad de los medios sociales, la cobertura de medios y relaciones públicas, los documentos de cumplimiento e incluso partes y piezas aleatorias de búsqueda que pueden ayudar al perfilamiento dinámico de riesgo.

El universo de proveedores, incluso para una compañía de tamaño modesto, sería probablemente bastante grande y variado en términos de tamaño, ubicación, riesgo financiero, riesgo operacional, riesgo de tecnologías emergentes e innovación, y así sucesivamente. Algunos formatos de análisis ABC¹¹ de proveedores para determinar sus niveles de confianza podría ayudar a ahorrar costos al mismo tiempo que se enfocan en el riesgo específico del proveedor a través de la “determinación del nivel” del proveedor, donde los proveedores críticos podrían clasificarse como nivel 1 (sistemas críticos), los principales proveedores como nivel 2 (sistemas moderadamente críticos) y otros proveedores como nivel 3 (commodities o relaciones de bajo riesgo).¹² Sin embargo, un TPRM que lo abarca todo se convierte en una propuesta costosa para las partes involucradas. Para ahorrar en costos y mejorar la madurez del proceso, se ha vuelto popular el agrupar los intereses de los pares de una industria (por ejemplo, compañías de autos, compañías telefónicas). Por ejemplo, las herramientas de TPRM como Markit, en que las organizaciones miembros requieren que sus terceros se inscriban en la plataforma, ya se han puesto en marcha. Los grupos de evaluación compartidos (por ejemplo, el Grupo Santa Fe) y las herramientas de recopilación de información compartida (SIG) aprovechan las herramientas de flujo de trabajo, las aplicaciones del modelo de madurez de capacidad y los tableros de control de proveedores no sólo para reducir los costos sino también para mejorar la calidad de la gestión de riesgos.

Implicaciones prácticas

Los informes sugieren que el 70 por ciento de las empresas no se involucran adecuadamente en la TPRM, pero más del 90 por ciento indican que aumentarán el uso de terceros.¹³ Esta anomalía pide una solución práctica y rentable que mitigue el riesgo, alineado con el apetito de riesgo del buscador. El inicio de los requerimientos regulatorios, como los de la oficina de Contraloría del Departamento de Tesorería de Estados Unidos (US Comptroller of the Currency )¹⁴ en la industria de servicios financieros de ese país, es sólo una indicación de la importancia de la TPRM. El entrenamiento para la gestión de riesgos de la empresa por parte de aquellos que buscan proveedores terceros puede estar faltando en este momento. A esto se suma la urgencia de abordar esta necesidad de gestión de riesgos que evoluciona rápidamente y que simplemente no puede ser evitada en el entorno empresarial actual.

Nota del Autor

Las opiniones expresadas en esta columna son de los propios autores y no de sus empleadores.

Notas Finales

¹ Handfield, R.; “A Brief History of Outsourcing,” North Carolina State University, USA, State, Poole College of Management, Supply ChainResource Cooperative, 1 June 2006, http://scm.ncsu.edu/scm-articles/article/a-brief-history-of-outsourcing
² Cohen, L.; A. Young; Multisourcing: Moving Beyond Outsourcing to Achieve Growth and Agility, Harvard Business School Publishing, USA, 2006
³ Corbett, M. F.; The Outsourcing Revolution: Why It Makes Sense and How to Do It Right, Dearborn, USA, 2004, http://www.economist.com/media/globalexecutive/outsourcing_revolution_e_02.pdf
⁴ The Target hack in 2013 provides an example of vulnerability inheritance.
⁵ Raval, V.; A. Fichadia; Risks, Controls, and Security: Concepts and Applications, Wiley, USA, 2007
⁶ Shah, S.; “Third Party Risk Management—Emerging Trends,” ISACA Mumbai (India) Chapter presentation, June 2016
⁷ Dorr, C.; “Third Party Risk Management,” ISACA Cincinnati (Ohio, USA) Chapter presentation, September 2014
⁸ Op cit, Cohen and Young
⁹ Op cit, Cohen and Young
¹⁰ Predictive analytics at this time is likely at an incubation stage in TPRM.
¹¹ Business Dictionary, ABC analysis, www.businessdictionary.com/definition/ABC-analysis.html
¹² Op cit, Dorr
¹³ Op cit, Dorr
¹⁴ Office of the Comptroller of the Currency, “Third Party Relationships,” OCC Bulletin 2013-29, US Department of the Treasury, 30 October 2013, http://www.occ.gov/news-issuances/bulletins/2013/bulletin-2013-29.html