Cómo optimizar las auditorías compartidas: 5 claves esenciales

¿Cómo se obtiene una mayor evaluación de los proveedores en toda la cadena de suministro sin aumentar la duplicidad? 

Ese es el reto que abordamos en nuestro reciente webinar con ponentes invitados de PwC. La sesión exploró cómo las auditorías compartidas están ayudando a las organizaciones a replantear la evaluación de terceros mediante un modelo que es tanto integral como, lo que es importante, escalable. 

Desde la presión regulatoria y la resiliencia operativa hasta la experiencia y eficiencia de los proveedores, aquí tiene cinco conclusiones clave de la discusión.

Acceda al webinar completo aquí.

1. Las auditorías compartidas están resolviendo un problema creciente de eficiencia 

Uno de los temas más claros del webinar fue la enorme magnitud de la actividad duplicada de evaluación que se está produciendo en las cadenas de suministro de servicios financieros. 

A medida que aumentan las exigencias regulatorias, los compradores piden a los proveedores más evidencias, más pruebas y más supervisión que nunca. ¿El problema? Los proveedores suelen responder a las mismas solicitudes de forma repetida para múltiples clientes. 

El modelo de auditoría compartida está diseñado para cambiar eso. 

En lugar de que cada organización realice evaluaciones separadas, los proveedores realizan una única evaluación detallada del Nivel 3 que luego puede compartirse entre varios miembros compradores de FSQS. 

El impacto es significativo. 

Durante la sesión, Hellios compartió ejemplos en los que los compradores ahorraron miles de horas al consumir informes ya disponibles, mientras que los proveedores redujeron drásticamente la carga de auditorías repetidas de varios clientes. 

Como explicó Paul Huggett: 

"Un proveedor, a través de una revisión del Nivel 3, presentó un informe que fue tomado por 14 Compradores diferentes y se ahorró 7.000 horas." (35:28) 

La conclusión era clara: las auditorías compartidas no tienen como objetivo reducir la información obtenida, sino reducir la duplicación de esfuerzos. 

2. La industria está entrando en una nueva era de escrutinio regulatorio

Otro tema importante a lo largo del webinar fue la regulación. 

Ian Trinder, de PwC, describió el mercado actual como un "punto crítico" para la gestión de riesgos de terceros, con crecientes expectativas por parte de reguladores de todo el Reino Unido y Europa. 

DORA, las directrices actualizadas de la PRA SS2/21, los requisitos de resiliencia operativa y la legislación emergente sobre ciberseguridad están impulsando a las empresas hacia una supervisión más profunda de los proveedores y una evidencia más sólida de la actividad de evaluación. 

Es importante destacar que los reguladores también reconocen que las empresas no pueden gestionar este desafío completamente de forma aislada. 

Como señaló Ian: 

“Ahora se está pidiendo de forma explícita a las entidades que hagan algo más... y los reguladores anticipan que habrá un coste asociado a realizar trabajo adicional en este ámbito." (12:27) 

Al mismo tiempo, los servicios financieros siguen siendo considerados la industria de referencia para la madurez de la gestión de riesgos de terceros.

“Hay una madurez en los servicios financieros que otros mercados buscan emular cuando puedan." (11:30) 

El enfoque de la auditoría compartida refleja este cambio hacia un modelo de evaluación más integrado y escalable, que ayuda a las empresas a aumentar la supervisión mientras utilizan los recursos de forma más eficaz. 

3. El Nivel 3 traslada la seguridad más allá de la autodeclaración

Un punto recurrente a lo largo de la sesión fue la diferencia entre que los proveedores afirman que existen controles y que realmente prueben si funcionan eficazmente en la práctica.

Las evaluaciones del Nivel 3 están diseñadas para proporcionar una evaluación independiente y basada en la evidencia en dominios de riesgo críticos, incluyendo:

• Ciberseguridad

• Seguridad de la información

• Continuidad del negocio

• Privacidad de datos

• Riesgo en la cadena de suministro

• Resiliencia tecnológica

• Gestión de archivos

• Seguridad física

El proceso se basa en la actividad de evaluación existente mediante pruebas detalladas de gobernanza, controles, evidencia y actividades de remediación.

Como explicó Sneha Das, de PwC:

"Proporciona una evaluación independiente que te permite ir más allá de lo que los terceros dicen que hacen." (28:04) 

Los informes resultantes están diseñados para ofrecer a los compradores una visión práctica y apta para la toma de decisiones, incluyendo hallazgos, categorización de riesgos, planes de remediación y plazos. 

Esto es especialmente importante dado que las organizaciones necesitan demostrar cada vez más no solo que existe evaluación de proveedores, sino que esta es basada en riesgos, repetible y accionable. 

4. La colaboración comunitaria es lo que hace que el modelo funcione 

Uno de los mensajes más contundentes del webinar fue que las auditorías compartidas solo funcionan cuando están lideradas por la comunidad. 

El marco de Stage 3 no fue construido de forma aislada por Hellios o PwC. En su lugar, el conjunto de preguntas y los criterios de prueba se desarrollaron en colaboración con la propia comunidad de compradores de FSQS. 

Y eso marca la diferencia. 

Significa que el marco de evaluación refleja las prioridades y expectativas reales de las empresas de servicios financieros, en lugar de una lista de verificación genérica de auditoría. 

Como dijo Paul Huggett, de Hellios: 

“Está construido por el grupo de pares que está en esta llamada." (16:50) 

Ian Trinder reforzó este punto, describiendo las auditorías compartidas como:

"Una oportunidad compartida." (15:43)

Ese modelo colaborativo ayuda a crear coherencia en todo el mercado, permitiendo que las organizaciones presten especial atención a riesgos específicos de proveedores o servicios cuando sea necesario. 

5. Los proveedores también ven el valor

A menudo se asume que los proveedores resistirán procesos de evaluación más profundos. Pero uno de los temas más claros de la discusión fue que los proveedores apoyan cada vez más los modelos de auditoría compartida en comparación con los enfoques tradicionales de auditoría uno a uno. Especialmente cuando ven el impacto de sus esfuerzos. 

Como señaló durante el webinar la responsable de auditoría de Hellios, Sophie Atlas: 

"A los proveedores les encanta cuando los compradores hacen seguimiento de estas valoraciones." (45:36)

Los proveedores quieren saber que el tiempo invertido en la recopilación de pruebas y la remediación está aportando un valor significativo. 

Y dado que el marco se ha construido de forma colaborativa en toda la comunidad FSQS, los proveedores tienen mayor confianza en que la información que proporcionan refleja las verdaderas prioridades del sector, lo que la hace relevante, reconocida y genuinamente útil para sus clientes. 

Reflexiones finales 

El webinar destacó un cambio más amplio que se está produciendo en los servicios financieros.

A medida que crece la presión regulatoria y las cadenas de suministro se vuelven más complejas, las organizaciones buscan formas de obtener una mayor evaluación sin crear más trabajo para ellas ni para sus proveedores.

Las auditorías compartidas ofrecen una vía práctica a seguir:

• Aumento de la visibilidad

• Reducción de la duplicidad

• Fortalecimiento de las relaciones con los proveedores

• Enfocar los recursos donde más importan

O, como resumió Sneha Das durante la sesión:

“El enfoque estructurado y compartido de la presentación de informes del Nivel 3 convierte la actividad de evaluación en una que apoya la toma de decisiones." (29:29)