Cómo crear un marco de gestión de riesgos de proveedores eficaz
La gestión de riesgos de proveedores es tan compleja como el número de terceros que conforman la cadena de suministro de la organización. Pero también es un elemento estratégico que incrementa la competitividad de la empresa que, de una u otra manera, adquiere una dependencia de terceros.
La globalización ha diversificado el tipo, el número y las formas de relacionarse con los terceros. Las organizaciones tienen proveedores en cualquier lugar del mundo. Se trata de empresas que están conformadas por una o por miles de personas.
Algunas de ellas son digitales y otras operan de forma tradicional. Las ubicaciones no excluyen ningún continente. Tal diversidad genera riesgos de cumplimiento, de corrupción, de capacidad de suministro…
El objetivo de la gestión de riesgos de proveedores es construir un marco de operación que permita seguir aprovechando la oportunidad que representa poder adquirir bienes y servicios en cualquier punto del mundo, con seguridad y eficacia.
¿Qué es la gestión de riesgos de proveedores?
La gestión de riesgos de proveedores congrega las tareas, actividades, estrategias y procedimientos necesarios para identificar los riesgos que entraña para una organización la relación con un proveedor.
Con base en esa identificación, la organización tiene la oportunidad de diseñar e implementar acciones para tratar esas amenazas. Las opciones de tratamiento son las mismas que están disponibles en la gestión de riesgos en otras áreas: mitigar, eliminar, compartir o admitir.
La debida diligencia es el proceso que mayor eficacia representa para la gestión de riesgos de proveedores. La debida diligencia, que en síntesis es una investigación sobre el proveedor, seguida de una evaluación de la información recopilada, pretende establecer si el tercero es confiable, no lo es, o es preciso aplicar algunos controles para poder trabajar con él.
La debida diligencia disminuye el riesgo que implica la relación con un proveedor. Pero no es la única herramienta de la que dispone la gestión de riesgos de proveedores. Examinemos algunos de esos riesgos y la forma en que se pueden gestionar.
¿Cuáles son los riesgos de proveedores?
Hasta la mitad del siglo XX la relación con proveedores no resultaba tan compleja. Pocas empresas tenían proveedores en el exterior, y estos eran fácilmente identificables y, por ello, confiables.
La globalización y la proliferación de ofertas de bienes y servicios en Internet, crean un espectro infinito de ofertas comerciales. Un número infinito de posibilidades genera riesgos en igual proporción. Riesgos que se pueden agrupar en seis categorías:
1. Seguridad de la información
La relación con un proveedor implica compartir tecnologías e información confidencial, como secretos industriales, fórmulas, procesos… Los riesgos de seguridad de la información abordan el área digital, pero también el conocimiento y la información que se transmite de forma oral o escrita.
La protección de datos y el acceso a información privilegiada son los temas más importantes para considerar. Se trata de un riesgo que tiene incidencia en el cumplimiento, en la estrategia de negocios y en la reputación de la organización.
2. Repercusiones en la reputación
Los proveedores tienen una capacidad real para impactar la reputación y la imagen de una organización. La imagen y reputación de organizaciones o personas que cometen delitos, por ejemplo, se pueden transmitir a la organización. Y también existe la probabilidad de que el mismo proveedor recurra a prácticas poco éticas o ilegales en las transacciones con la organización.
3. Riesgo financiero
Los problemas financieros de un proveedor pueden impactar a sus clientes. Los escenarios más frecuentes son: el proveedor traslada el problema a su cliente incrementando los precios, o incurre en suspensión del suministro ante la incapacidad para operar que genera la falta de flujo de efectivo.
4. Riesgo operativo
La gestión de riesgos de proveedores debe ocuparse de los problemas logísticos y estructurales que, en un momento determinado, pueden impedir al proveedor entregar los productos acordados o hacerlo de acuerdo con las especificaciones contratadas. Es lo que se conoce como riesgo operativo.
5. Riesgo estratégico
El riesgo estratégico es el que se deriva de la toma de una decisión, que no está alineada con los objetivos de negocio, generando problemas e impactando la capacidad para operar y cumplir.
Un proveedor que no gestiona de forma eficaz sus riesgos estratégicos, puede incumplir las obligaciones contraídas, perder licencias para operar o incurrir en altas multas y sanciones.
6. Riesgo de cumplimiento
La gestión de riesgos de proveedores se basa en la transmisión de los efectos de las amenazas a lo largo de la cadena de suministro. Es el caso del riesgo de cumplimiento que impacta a la organización contratante de dos formas: incumpliendo las obligaciones con sus clientes, como efecto del incumplimiento de su proveedor, o vulnerando normas regulatorias comunes como el RGPD, normas ambientales, de Seguridad de la Información o normas anticorrupción.
¿Cómo crear un marco de gestión de riesgos de proveedores eficaz?
La gestión de riesgos de proveedores puede ser tan compleja como el número y la diversidad de proveedores. La debida diligencia es el paso previo a cualquier tipo de evaluación. Es con base en ella que se determina qué tipos de riesgos existen y cuáles tienen mayor relevancia para cada tercero.
Después, el camino a seguir es:
1. Evaluar y calificar los riesgos
Con los datos obtenidos es posible evaluar cada proveedor y producir una lista de terceros categorizada de acuerdo con el potencial riesgo que cada uno de ellos ofrece.
Es una evaluación que se debe realizar de forma periódica, con base en una metodología estandarizada para todos y sistemas de puntuación igualmente populares.
2. Mantener un equipo de gestión de riesgos de proveedores
Los riesgos relacionados con la interacción con proveedores, o con otros terceros, interesan a los encargados de la gestión de cumplimiento, en primera instancia, pero también a los encargados de Seguridad de la Información, Calidad o finanzas, entre otras áreas.
Es importante que exista un equipo de trabajo interdisciplinario dedicado a examinar las amenazas que implican los proveedores, desde diferentes enfoques.
3. Realizar evaluaciones por líneas de productos
Este tipo de evaluaciones permite establecer qué productos tienen una mayor exposición al riesgo de proveedores. Identificar líneas de productos con mayor riesgo, permite enfocar los esfuerzos y optimizar los recursos.
4. Diseñar estrategias de gestión
Los riesgos de proveedores se gestionan de acuerdo con la metodología generalmente aceptada en cualquier otra área. Es preciso establecer el impacto o gravedad de la amenaza, así como la probabilidad de ocurrencia.
Una matriz de riesgos permitirá priorizar amenazas y determinar cuáles se pueden eliminar. Las demás, de acuerdo con la evaluación técnica, podrán ser mitigadas, compartidas o admitidas, de acuerdo con el apetito de riesgo de la organización o la oportunidad que puedan representar.
5. Automatizar la gestión
Crear un marco de gestión de riesgos de proveedores seguro y eficaz, es una tarea que consume una alta cantidad de información y datos. Automatizar la recopilación y gestión de datos permitirá realizar evaluaciones constantes, aumentado así la efectividad.
Software ISO 37301 de ISOTools
Automatizar la gestión de riesgos de proveedores, utilizando una herramienta como el Software ISO 37301 de ISOTools permite a las organizaciones asumir los retos que propone la globalización y la eliminación de fronteras para la suscripción de acuerdos con proveedores.
Se trata de una solución basada en la nube, con funcionalidades avanzadas para garantizar el cumplimiento en toda la organización, sin importar su tamaño o el número de terceros involucrados. Encuentra más información aquí.