Noticias
<< Volver al listado de noticias
Artículo - ¿Por qué está costando en las empresas montar un sistema de diligencia debida en la cadena de suministro?
Publicado el 16-09-2022 Notícia sobre: Data Privacy Institute(2).png)
CARLOS A. SÁIZ
Vice Chairman, ISMS Forum; Director, Data Privacy Institute; Attorney, Partner and Head of Governnace, Risk
Después de haber visto muchos casos, considero que existen varios obstáculos con los que está resultando complejo lidiar por parte de los profesionales que tienen algún tipo de competencia en esta materia, como son los Responsables de Compras, Compliance Officers, Delegados de Protección de Datos, Chief Information Security Officers, etc. Entre ellos:
- Cada vez hay más normas que obligan a implantar un sistema de diligencia debida previa a la contratación con terceros en materias como Protección de Datos, Compliance, Ciberseguridad y Resiliencia, Sostenibilidad, Derechos Humanos, etc. La tendencia es que este tipo de obligaciones crecerá para las empresas, que además tendrán la obligación de acreditar que han implantado estos controles de manera efectiva.
- Existen normas, pero no hay desarrollo legislativo que contenga el detalle de cómo realizar esa labor de diligencia debida, hasta dónde hay que llegar para dar por cumplida esa obligación, qué umbrales de riesgo podrían ser aceptables, etc.
- El volumen de terceras partes en una entidad es algo que es necesario saber manejar de forma previa a implantar un modelo. La aplicación de procesos de diligencia debida muy ambiciosos, cuando se trabaja con miles de proveedores, implica dotarse de importantes recursos con los que es mejor contar de antemano para saber que podremos cumplir los objetivos que se persiguen.
- La velocidad y exigencia de los negocios muchas veces se enfrenta a la burocracia y/o lentitud que en ocasiones supone el seguimiento de estos procesos de diligencia debida, p.e. ante la necesidad de comenzar un proyecto con una tecnología concreta o contar con un servicio estratégico de un proveedor.
- No existe un modelo de Gobierno claro en el que estén perfectamente fijadas las responsabilidades y competencias de las áreas involucradas: Compras, Compliance, Protección de Datos, Ciberseguridad, Riesgos, etc. Asimismo, al no existir un modelo único, muchas veces esas tareas están muy fragmentadas por lo que cada área avanza como puede y en muchos casos el resultado son procesos ineficientes que realmente no mitigan riesgos, la generación de molestias y burocracia a proveedores, el envío de comunicaciones contradictorias en los procesos de homologación, etc.
- Aunque se haya realizado un proceso de diligencia debida previo a la contratación de un tercero, después no se cuenta con los recursos para dar seguimiento al cumplimiento del SLA y la correspondiente monitorización continua que muchas de estas relaciones de negocio requieren.
- Falta de visibilidad por parte de la Dirección de la compañía de que haya un riesgo real, salvo que ya se hayan visto involucrados en algún escándalo o incidente grave con un proveedor. En algunos casos también existe una falsa sensación de seguridad basada en la mera existencia de contratos con proveedores que aceptan todo tipo de condiciones impuestas por la empresa compradora de sus servicios y productos, pero donde no se ha llevado a cabo ningún tipo de evaluación previa sobre su sistema de Compliance, Ciberseguridad, Protección de datos, Derechos Humanos, etc.
A todos estos aspectos, algunos de ellos vulnerabilidades endógenas de la empresa, hemos de sumarle los elementos exógenos, donde las noticias sobre los riesgos de terceros y el impacto que tienen en los negocios en algunos casos son alarmantes. Según el reciente informe publicado por ForgeRock sobre brechas de seguridad “ha aumentado un 297% en el número de infracciones relacionadas con ataques de terceros/supply chain, el acceso no autorizado representa el 50% de todas las violaciones, y el coste medio de un ataque en los Estados Unidos alcanza los 9,5 millones de dólares”.
Si hablamos de Corrupción y Cumplimiento, el Índice de Percepción de la Corrupción que publica anualmente Transparencia Internacional afirma que “dos años después del inicio de la catastrófica pandemia de covid-19, el Índice de Percepción de la Corrupción (CPI) advierte que el nivel de corrupción se encuentra estancado en todo el mundo. A pesar de sus compromisos sobre el papel, 131 países no han registrado ningún avance significativo en la última década, y este año 27 países se encuentran en el nivel más bajo de su trayectoria”
Todo ello hace que los aspectos relativos a las relaciones con terceros se hayan convertido en un punto importante en la agenda de las áreas de Gestión de Riesgos en las compañías y un ítem importante a desarrollar y/o mejorar en los próximos meses.
En el siguiente artículo ofreceré unas claves prácticas para implantar un sistema de diligencia debida en la cadena de suministro.
Disponible próximamente en el monografico nº9 de ISMS Forum en formato digital en nuestra web.
.jpeg)
