El control de riesgos desborda los límites de la empresa

La empresa debe integrar en la estrategia de negocio a los terceros con los que se relaciona

Buen gobierno

En un mercado cada vez más abierto, entre las organizaciones se impone la diferenciación y la especialización para competir, por lo que, lejos de ser autosuficientes, las compañías incrementan la dependencia de terceros. La encuesta global de Deloitte Third party governance and risk management, en la que se analiza cómo las organizaciones gestionan los riesgos derivados de su relación con terceros, muestra que continúa incrementándose la dependencia estratégica en terceras partes: más del 50% de los participantes señala un aumento en el nivel de dependencia durante el último año.

Para gestionar los riesgos derivados de esta externalización, las organizaciones necesitan considerar el sistema en el que se desenvuelven, identificando a todos los participantes de lo que se conoce como la empresa extendida y sus relaciones con la compañía.

Impulsar un ecosistema de terceras partes ayuda a las empresas a innovar y obtener flexibilidad

El concepto de empresa extendida hace referencia a la necesidad de integrar en la estrategia de negocio todos los elementos que forman parte del engranaje productivo hasta llegar al cliente. “La empresa ya no es exclusivamente lo que tenías puertas adentro de tu organización, tus fábricas, tus instalaciones, sino que va más allá”, señala Óscar Martín Moraleda, socio de risk advisory de Deloitte. “Está compuesta además por algunas pequeñas empresas que están prestando un servicio que es clave para la supervivencia de tu organización”, puntualiza.

Sin embargo, pese al incremento de esa dependencia de terceros, la mayoría de las organizaciones todavía no están gestionando, de una manera coordinada y global, los riesgos derivados de los servicios que prestan las terceras partes, ya que solo un 20% ha integrado u optimizado sus mecanismos de buen gobierno y gestión de riesgos, según la encuesta de Deloitte. Y ello pese a que el 74% de las empresas se ha enfrentado, al menos, a un incidente provocado por una tercera parte en los últimos tres años.

Para Martín Moraleda, “impulsar un ecosistema de terceras partes puede ayudar a las empresas a innovar y a obtener gran flexibilidad, agilidad y ahorro de costes, accediendo a servicios con los que difícilmente podrías contar por falta de recursos”. El problema, apunta el socio de Deloitte, es que estos servicios “suelen estar contratados por múltiples departamentos de tu organización y el seguimiento de los mismos está muy disperso”. Así, “cualquier error que pueda cometer una tercera parte puede causar un importante daño en la marca, en la reputación de la compañía e, incluso, consecuencias penales”.

“Con un enfoque integral de la gestión de riesgos las organizaciones pueden aprovechar las oportunidades que ofrece la empresa extendida manteniendo un equilibrio entre oportunidades y riesgo”, destaca Martín Moraleda. Uno de los primeros pasos, señala el ejecutivo de Deloitte, sería “establecer unas adecuadas cláusulas en los contratos para sentar las reglas del juego y además reservarte el derecho de revisar esos mecanismos periódicamente”.

Sin embargo, los participantes en la encuesta afirman que sus actuales niveles de integración están lejos de ser óptimos: un 53% de las empresas aspira a alcanzar la integración y un adicional 27%, a alcanzar la optimización en los próximos tres años. “Queda mucho por hacer”, reconoce Martín Moraleda. “Y no porque lo diga la encuesta, lo vemos en el día a día de los clientes con los que trabajamos”.

Más allá de la propia empresa

Óscar Martín Moraleda, socio de risk advisory de Deloitte, enumera algunos riesgos en la relación con terceros.

-Operativos. Tienes que asegurarte que un tercero va a cumplir tus propios estándares de calidad

-Financieros. En algunos casos, al externalizar, condicionas ingresos a cómo ese tercero gestiona las ventas de tus productos.

-Reputacionales. Si el tercero actúa en tu nombre y no lo hace de forma adecuada, es a ti a quien afecta.

-Ciberseguridad. Los atacantes pueden aprovechar las debilidades de un tercero con el que te relacionas para llegar a tu sistema.

Normas