Cuando una organización se apoya en terceros, su exposición a los riesgos se multiplica

El uso de terceros no es nada nuevo, distintos tipos de compañías y entidades han trabajado con proveedores, agentes, y otros operadores tercerizados, durante años. Lo que ha cambiado es la frecuencia y nivel del uso de terceros y el la mayor presión por parte de las autoridades sobre los tercero, en especial saber cómo las organizaciones están administrando los terceros para lidiar con los riesgos inherentes.

El hecho de que en la mayoría de los casos, incluso en las grandes organizaciones mundiales, es una rareza que alguien en la organización tenga una visión completa y general de los terceros con los que la empresa está haciendo negocios –o los riesgos que estos terceros representan para la empresa—es un tema que genera preocupación.

En la actualidad las juntas directivas están considerando el riesgo de terceros como un riesgo muy importante a tener en cuenta, como un peligro estratégico a mitigar. Sin embargo, este peligro todavía no se ha traducido en una clara responsabilidad de la supervisión de riesgos de terceros.

Existen varias variables relacionadas con el crecimiento de los riesgos de terceros, una de ellas es que en los últimos tiempos muchas organizaciones han dirigido parte de sus negocios a terceras partes, entidades, personas, etc., para reducir costos; por otro lado los reguladores se han vuelto mucho más exigentes sobre cómo las compañías están manejando la tercerización y los riesgos de terceros en general; y las sanciones por violaciones han crecido en forma exponencial y estas penalidades han añadido un nuevo factor para que las entidades tengan en cuenta, que es el daño o impacto reputacional.

Cuando muchos clientes se ven afectados por fallas en los sistemas de terceros, por ejemplo, o cuando una compañía experimenta severas sanciones o recibe repetidos llamados de atención por parte de las autoridades, la reputación de la organización puede experimentar un duro golpe. Otro factor a tener en cuenta es que es que la tecnología actual permite un movimiento libre y veloz de información, algo que no tiene precedentes, hace décadas una falla en una localidad, ciudad o país posiblemente se limitaba a esa zona geográfica, en la actualidad cualquier problema se vuelve global.

Como consecuencia del incremento del riesgo y las consecuencias de estos riesgos, las compañías están prestando más atención y haciendo más preguntas.

En muchas organizaciones el jefe de ventas debe asumir este papel, pero esto puede llevar a una visión sesgada sobre los proveedores, en lugar de una visión general de toda la empresa.

Cuando se trata de los riesgos de terceros, por lo general han sido tratados como algo independiente, separado del resto, no con un enfoque holístico, integral. Ciertos individuos dentro de las organizaciones prestaban atención a riesgos. En el sector bancario, por ejemplo, el enfoque podría ser puesto en el departamento de tecnología de la información y los temas relacionados con la protección de datos y las cuestiones relacionadas con el hecho de compartir información con terceros.

En el sector de productos de consumo, el enfoque podría estar en los riesgos de calidad y seguridad de los productos, con la intención de proteger los usuarios y salvaguardar la reputación de la empresa. Si bien las organizaciones se han mostrado proactivas en la gestión de riesgos para ciertas funciones o aspectos del negocio, muchas han tenido un enfoque estrecho sin analizar la exposición general, la visión holística que es esencial para la comprensión de la exposición general del riesgo de terceros y la administración de este riesgo en toda la empresa.

Muchas compañías se están preparando para administrar en forma certera el riesgo de terceros, pero también hay muchas que todavía no han llegado a este punto. El primer paso posiblemente sea el más complicado, poder discernir con quién tiene relación comercial o está haciendo negocios la compañía. Una vez que se tenga esta información se podrá comenzar a pensar cómo administrar el riesgo asociado con estos terceros que han sido identificados, para enfocarse principalmente en aquellos que representan los mayores riesgos.

Un enfoque completo incluye un marco y procesos definidos para evaluar el riesgo de terceros, como por ejemplo un cuestionario para terceros y la posibilidad de clasificar los posibles riesgos sobre la base de sus respuestas. Deberá existir una política sólida para definir los siguientes pasos una vez que el riesgo es identificado, incluyendo orientación para decidir si se debe aceptar este riesgo y cómo manejarlo correctamente. La compañía debe contar con profesionales en la organización con sólidos antecedentes en gestión de riesgos.

Es importante que las entidades actúen con base en esta información, ya que hay muchas que toman muchas de estas medidas pero no se lanzan a la implementación total de las mismas. Muchas veces, parte de la problemática es que existen obstáculos tecnológicos que les impiden implementarlas y no es que las soluciones tecnológicas no existan, son los esfuerzos y costos que se requieren para ponerlas en práctica los que están frenando a  muchas de estas compañías.