Noticias

<< Volver al listado de noticias

Artículo - Claves prácticas para implantar un sistema de diligencia debida en la cadena de suministro

Publicado el 19-09-2022      Notícia sobre: Data Privacy Institute

CARLOS A. SÁIZ
Vice Chairman, ISMS Forum; Director, Data Privacy Institute; Attorney, Partner and Head of Governnace, Risk.
 
Como avanzaba en mi anterior artículo, los aspectos relativos a las relaciones con terceros se han convertido en un punto importante en la agenda de las áreas de Gestión de Riesgos en las compañías y un ítem importante a desarrollar y/o mejorar en los próximos meses.
 
Bajo mi punto de vista, para lograr diseñar e implantar un buen sistema de Third Party Compliance (TPC) con éxito será necesario tener en cuenta varios aspectos. Aquí reflejo algunos muy vinculados únicamente a uno de esos grupos de “terceros”, que son los proveedores:
 
  • Análisis del contexto actual de la entidad. Es decir, conocer de dónde partimos:
    • si ya existe algún proceso de homologación y clasificación donde a los proveedores se les solicita información sobre estatutos, cuentas, seguros, solvencia técnica y económica, se les asigna un determinado nivel de riesgo, etc.
    • quién se encarga (si alguien lo hace) de solicitud de documentación, altas, interlocución con terceros, negociación de contratos, seguimiento de SLA´s, revisión de documentación, etc.
    • cuáles son las herramientas y procesos que se siguen actualmente: herramienta general de gestión de proveedores, herramientas de clasificación de proveedores, ofimática, work-flows de contratos, generación de pedidos, etc.
    • indicadores existentes: número de proveedores actuales, promedios anuales de nuevos proveedores, empresas solicitantes que finalmente no son homologados, renovaciones contractuales anuales, clasificación por categorías, etc.
  • Definición de un sistema de diligencia debida flexible, pero alineado a los requisitos normativos, que permita distinguir unos procedimientos más exigentes y otros menos robustos en base a diferentes criterios: la diferente tipología de terceros (proveedores), el nivel de riesgo/cumplimiento del tercero, los posibles impactos para la empresa y el confort con el contenido y alcance de la diligencia ejecutada. 
De esta manera, pueden convivir diferentes estadios de profundidad, canalizando a cada proveedor en el que corresponda, por ejemplo, formulario básico de preguntas, formulario avanzado, solicitud de evidencias, petición de certificaciones y documentación, reunión con DPO, CISO, Compliance de la empresa proveedora, auditoría presencial, etc.

Incluir a todos los proveedores, de todo tipo y pelaje, a través de un único mecanismo de diligencia debida podría derivar en situaciones ilógicas y desequilibradas, dedicando demasiado esfuerzo a proveedores y servicios que no lo requieren, y quizá menos esfuerzo a otros que requerirían más para realizar una correcta gestión de ese riesgo.

  • Decisión de contar con herramientas que permitan automatizar gran parte de las tareas que implica operar un sistema de TPC, y le dote de la agilidad que el negocio necesita. Una vez que se ha definido un modelo de gestión y se han aprobado los procedimientos adecuados es necesario contar con recursos personales y herramientas que operen el día a día de este sistema implantado, debiendo contar con las garantías suficientes para lograr los objetivos que se plantearon.
En este sentido, existe un importante mercado de soluciones y herramientas orientadas a facilitar los procesos de TPC: herramientas de gestión de formularios y proveedores, herramientas de revisión documental incorporando IA, herramientas de clasificación en base a riesgos, herramientas informativas de personas y empresas, herramientas de benchmarking y comparativas, etc.
  • Conocimiento de estándares y buenas prácticas del mercado. El hecho de tener varias normas que regulan estas obligaciones, pero ningún detalle sobre su contenido y alcance hace que sea aconsejable considerar este tipo de documentos. Por ejemplo, en materia de protección de datos, el ISMS Forum, a través del Data Privacy Institute, desarrolló la “Guía Práctica para la gestión de terceros”. Asimismo, ISMS Forum ofrece un curso, ya en su segunda edición, titulado “Gestión de Riesgo IT en la cadena de suministro”.
Por otro lado, existe una previsión optimista sobre la aparición de diferentes certificaciones que ayudarán a las empresas proveedoras a ganar confiabilidad y demostrar con mayor facilidad a sus clientes que son compañías comprometidas con el cumplimiento, sometidas a auditorías y revisiones periódicas para acreditarlo.
  • Establecimiento de un Modelo de Gobierno para TPC, donde queden perfectamente fijadas las responsabilidades, tareas y objetivos de cada área y función que participe de alguna manera en ese proceso: Compras, Jurídico, DPO, Compliance, Ciberseguridad, etc.
  • Concienciación a la Dirección sobre lo que puede suponer el riesgo de terceros y crear una cultura de riesgo más allá del perímetro de nuestra empresa, haciendo visible los posibles impactos que podría tener un problema o escándalo por parte de un proveedor.
Sin duda, existen muchos más aspectos a tener en cuenta para implantar un modelo de TPC, pero he intentado reflejar los que considero más importantes en estos momentos y conforme al estado de la normativa.
 
En el siguiente artículo, ofreceré algunas claves que considero importantes para las empresas proveedoras que se ven sometidas a procesos de TPC en sus clientes, especialmente en grandes organizaciones.
 
Disponible próximamente en el monografico nº9 de ISMS Forum en formato digital en nuestra web.
 

Global Gold Sponsor