Actualmente las empresas se encuentran altamente interconectadas y los paradigmas clásicos han cambiado. Si a mediados del siglo pasado una compañía podía subsistir sin ‘abrirse’ al exterior, creándose megaempresas que prácticamente contaban con todos los servicios necesarios dentro de ellas, hoy es impensable el desarrollo de ventajas competitivas sin estar abierta al mundo. La gran revolución de las Tecnologías de Información ocurrida hace pocas décadas, ha hecho que en las empresas se tome como estrategia válida concentrarse sólo en el área de especialización propia del negocio y dejar tareas menos claves, o que requieren alta expertise, en manos de terceros.
Offsshore, nearshore y outsourcing son conceptos que no son extraños en el ambiente empresarial; todo lo contrario, se han consolidado como una de las prácticas de negocios más exitosas y extendidas en el mundo. Países como India o Irlanda las han tomado como pilares de sus políticas internas de desarrollo, convirtiéndose en referentes al momento de pensar en centros de externalización.
Por otro lado, algunas industrias por su propia naturaleza tienden a estar más interrelacionadas, no sólo en temas de proveedores, sino en áreas de negocios, manejo de información, y nuevos canales de difusión o ventas. Como ejemplo podemos observar a la industria financiera, donde encontramos que una institución cualquiera se relaciona con otras entidades, cámaras de compensaciones, depósito de valores, bolsas de comercio, Banco Central, mesas de dinero, administradores de tarjetas o de cajeros automáticos y un largo etcétera. Sin contar con una extensa gama de proveedores en áreas tan diversas y sensibles como auditorías financieras, soporte de tecnologías, desarrollos, seguridad informática o física.
Algo similar con distintos grados se puede ver en otras industrias, como telecomunicaciones o retail. Estas prácticas se han afianzado dado sus claros beneficios para los distintos segmentos, tales como:
• Utilizar las economías de escala de los socios o proveedores.• Efectividad y eficiencia en procesos críticos, dada la especialización del tercero.• Recurrir a la experiencia y conocimiento de los proveedores o socios de negocio, por sobre tener que crear las competencias internamente.• Niveles de servicio asegurados, en contraposición a niveles de servicio internos más difíciles de definir.
No obstante, estos beneficios traen consigo riesgos inherentes que deben ser evaluados y gestionados. Algunos de los que pueden darse en estos escenarios son:
• Pérdida en el aseguramiento de la calidad de los productos.• Pérdida de la confidencialidad o integridad de la información entregada o compartida con el tercero.• Niveles de servicio no definidos.• Daño en la reputación por un mal control interno del tercero.• Fallas de continuidad en el servicio por contingencias del proveedor o socio.
El enfoque clásico de administración de riesgos nos sugiere que una vez identificado, éste puede ser enfrentado de cuatro formas diferentes:
• Mitigar, es decir utilizar algún tipo de control que permita reducir el riesgo inherente.•Aceptar, saber del riesgo y admitirlo como parte del quehacer del negocio; vivir con él.•Evitar, tomar una posición más drástica y cambiar los procesos o no realizar un proyecto, dado que el riesgo es mucho mayor a lo aceptable.•Transferir, lo que implica el uso de seguros.
Cuando se hace tercerización, una conducta errada en las empresas es confiar en que el problema ya no es de la organización, confundiendo el externalizar con transferir el riesgo al tercero. Aquí se esgrimen argumentos como que “mi proveedor debiera preocuparse de esto”. Si estas afirmaciones no están respaldadas por un contrato en que explícitamente se indiquen las situaciones de riesgo que deseamos cubrir, no se está transfiriendo el riesgo, y más bien, no se está mitigando.
En particular, para mitigar el riesgo en los terceros, las prácticas más conocidas como Cobit e ISO 17799, poseen un grupo de actividades y controles que aún cuando tienen un enfoque diferente (gobierno TI, el primero, y seguridad de información, el segundo) son coherentes y complementarios, y finalmente permiten mitigar el riesgo en los terceros.
• Identificar y clasificar todos los servicios de terceras partes, ya sean socios de negocios o proveedores de servicios.
• Formalizar la gestión de los terceros en los niveles de servicios acordados.
• Identificar y mitigar los riegos asociados a los terceros, es decir, identificar los aspectos regulatorios y legales propios de la industria; los acuerdos de confidencialidad necesarios; y las penalidades o las recompensas.
• Los acuerdos formales con los terceros deben incluir la conformidad con las políticas internas, de seguridad, aspectos legales y regulatorios relevantes a la información manejada o servicio prestado.
• Monitorear a los proveedores y terceros; medir su desempeño asegurando que el tercero trabaje dentro de los niveles de servicio acordados, y que su rendimiento sea acorde al mercado y a las necesidades del negocio.
Los terceros, ya sean proveedores o socios de negocios, deben formar parte integrante de los riesgos que debe gestionar una empresa. El hecho de ser externos o no estar directamente relacionados con la firma no puede ni debe disminuir la responsabilidad inherente de la compañía contratante en sus obligaciones, a los propietarios, entes reguladores o clientes.