Los servicios de terceros complican la gestión de riesgos para las organizaciones
- Infraestructura
La mayor parte de las empresas detectan riesgos imprevistos provenientes de los proveedores de servicios externos, una vez que ha pasado el período de evaluación. Esta falta de capacidad para evaluar todos los riesgos potenciales antes de asociarse con terceras partes supone un peligro para los datos corporativos y de los clientes, lo que está forzando un cambio de estrategia.
Con la rápida digitalización que se vive en el entorno empresarial, la evaluación de riesgos está cobrando una nueva dimensión, debido a las políticas de cumplimiento más restrictivas que imponen las leyes como GDPR. El nivel de protección de los datos que exigen las nuevas regulaciones abarca numerosos campos y se extiende hasta casi todos los niveles de la organización. Por ello, cada vez es más complicado realizar una evaluación de riesgos que logre contemplar todos los aspectos de seguridad relativos a la propia organización, más aún a los servicios de terceros.
Porque en el contexto actual de los nuevos modelos de negocio digital, las organizaciones necesitan recurrir a proveedores de servicios externos, que abarcan desde necesidades internas a determinados servicios para sus clientes. Esto supone que estas empresas externas acaban teniendo acceso e interactúan con los datos que maneja la empresa, y que pueden ser propiedad de la organización o de sus clientes y socios. Y esto supone que deben conocerse en la medida de los posible todos los riesgos asociados a la interacción con estas terceras partes, algo cada vez más difícil de lograr.
En una reciente investigación de Gartner se muestra que un 83% de las empresas detectan riesgos inesperados vinculados a los servicios de terceros, tras haber pasado la evaluación de riesgos inicial y antes de la recertificación. Esto pone de manifiesto que las políticas de evaluación de riesgos deben estar más en sintonía con la realidad digital dentro y fuera de la organización. Sobre todo, porque determinados servicios comerciales de terceros acaban vinculados a los datos que maneja la organización, y es imperativo que estas interacciones se realicen cumpliendo las normas más estrictas.
Hacia una evaluación y gestión de riesgos continua
Este estudio contempla las opiniones de más de 250 líderes legales y de cumplimiento, y pone sobre la mesa que los enfoques estándar de gestión de riesgos, centrados en un punto concreto de tiempo, no son adecuados para las cambiantes relaciones comerciales de la era digital. Con un número creciente de terceras partes que prestan servicios comerciales a las empresas los riesgos aumentan, y no siempre se pueden identificar antes de cerrar el acuerdo comercial. Por ello, Gartner dice que la gestión de riesgos moderna debe tener en cuenta esta naturaleza cambiante para reducir los riesgos de forma continua, y no por intervalos.
Según Chris Audet, director de investigación de prácticas legales y cumplimiento de Gartner, “los líderes legales y de cumplimiento se han basado en un enfoque de gestión de riesgos de terceros en un punto en el tiempo, que enfatiza la diligencia debida y una exhaustiva recertificación por adelantado para la mitigación de riesgos”. Apunta también que su investigación “muestra que un enfoque iterativo para la gestión de riesgos de terceros es el nuevo imperativo para satisfacer las demandas comerciales de velocidad y las demandas de las partes interesadas para la mitigación de riesgos”.
Factores que impulsan el cambio de mentalidad
Gartner señala que hay una serie de factores que están contribuyendo a este cambo de enfoque, y que ganarán peso a partir de 2019. El primero es que el 80% de los líderes legales y de cumplimiento afirman que su organización está recurriendo a nuevos servicios de terceros, incluyendo nuevas empresas y socios con modelos comerciales innovadores, en vez de proveedores tradicionales.
Por otro lado, esta investigación muestra que dos tercios de estos líderes afirman que las terceras partes a las que contratan proporcionan servicios que se encuentran fuera del modelo comercial central de la compañía. Y confirman que estos proveedores externos tienen un acceso cada vez mayor a los datos de la organización, lo que genera importantes riesgos potenciales en materia de cumplimiento. Además, existe una creciente variabilidad en la madurez de las redes de estos nuevos socios quienes, a su vez, tienen sus propios socios, que se convierten en cuartas y quintas partes.
Esto conforma un ecosistema cada vez más complejo, en el que los riesgos de unos generan otros riesgos a lo largo de la cadena comercial, complicando la evaluación y la gestión de estas posibles amenazas de seguridad. Y es muy complicado identificarlos todos antes de contratar los servicios de cualquier proveedor. Como resultado, el 31% de los entrevistados para este estudio afirman que esos riesgos inesperados han tenido un impacto material en el negocio.
Las organizaciones están concienciándose
El estudio realizado por Gartner muestra que las organizaciones están cada vez más concienciadas sobre este nuevo panorama de riesgos empresariales, y los líderes de cumplimiento están cambiando hacia este nuevo enfoque. Por el momento, queda mucho camino por recorrer, pero un porcentaje importante de ellos ya es consciente de que los viejos modelos no son aplicables en el ecosistema digital actual.
Según el analista, “el noventa y dos por ciento de los líderes legales y de cumplimiento nos dijeron que esos riesgos materiales no podrían haberse identificado mediante la debida diligencia. La única forma de sacar a la superficie esos riesgos fue a través del compromiso real con el tercero y mediante la identificación continua del riesgo en el transcurso de la relación con el tercero”. Esto confirma que la tendencia hacia un enfoque iterativo en la gestión de riesgos está en marcha, y que las organizaciones están enfrentándose a los desafíos que imponen los nuevos modelos de negocio en el contexto de las estrictas normativas de protección de datos.
Así, el estudio indica que las organizaciones que han adoptado este enfoque han logrado hasta casi cuatro veces el nivel de satisfacción de los socios comerciales, el doble de la capacidad de remediar riesgos antes de sufrir su impacto y una capacidad 1,5 veces mayor de identificar estos riesgos antes de sufrirlos. En palabras de Audet, “un enfoque iterativo permitirá a los líderes legales y de cumplimiento gestionar sus redes de terceros cambiantes y en expansión, al tiempo que satisface las demandas comerciales para una incorporación más rápida”.
Pasos a seguir para lograr el cambio
Alcanzar estos objetivos requiere un cambio de mentalidad y adoptar un enfoque de evaluación y gestión de riesgos distinto al tradicional. Los expertos de Gartner han elaborado una lista con los tres pasos principales que deberían seguir los líderes legales y de cumplimiento normativo que quieran llevar a su organización a este nuevo nivel:
• Agilizar los requisitos de diligencia para centrarse en los riesgos más críticos. Esto permite estratificar mejor los riesgos en función de su importancia para la organización. Así, se pueden centrar los esfuerzos en los temas de seguridad más vitales para cumplir con las leyes de protección de datos, pudiendo analizar más en profundidad cada uno, tanto internamente como con los socios comerciales que prestan servicios a la organización.
• Establecer disparadores internos para monitorizar los cambios. Es vital que se creen este tipo de “alertas”, que permitan monitorizar constantemente los cambios que se producen en relación a los servicios de terceros y su integración con los datos y la estructura interna de la organización. Así, los líderes podrán estar al tanto puntualmente de cualquier cambio que pueda generar nuevos riesgos, y sobre el que se deban modificar las políticas de colaboración con terceras partes.
• Crear controles e incentivos para la monitorización del cambio. A la vez que se acomete el cambio de enfoque hacia una monitorización constante de los riesgos, es importante fomentar un cambio cultural que incentive a los responsables y trabajadores para que se involucren en esta monitorización. De esta forma, todos los integrantes de la red comercial, desde los propios empleados hasta los socios, desarrollando una mayor complicidad con la gestión de riesgos. Esto permite estar mejor preparados para afrontar los riesgos de seguridad que se produzcan de forma inesperada tras la aplicación de cualquier cambio en la operativa interna y con las terceras partes implicadas en el negocio.
Como señaló Audet, “para mitigar eficazmente los riesgos de terceros, los líderes de cumplimiento deben simplificar sus procesos actuales de diligencia debida para centrarse en los riesgos críticos. Esto eliminará el engorroso proceso de duplicación y centrará la atención en los riesgos que tienen el mayor impacto en la organización. Pero, lo más importante, deben incorporar disparadores para monitorear los cambios que dan lugar a riesgos en el transcurso de la relación”.
Aunque este nuevo modelo de evaluación y gestión continua de riesgos debe adaptarse a las condiciones particulares de la relación con cada unos de los socios y proveedores externos de servicios. Esto es importante ya que cada una de estas relaciones comerciales genera sus propios riesgos, que van evolucionando a la vez que lo hacen los propios servicios. Y, sobre todo, en los casos en que la integración de estos va creciendo, incluso generando sinergias e interacciones entre diferentes proveedores de servicios.