El proceso de evaluación de proveedores es importante para cualquier organización o empresa ya que estamos filtrando los mismos intentando contratar los que creemos que aportan más valor a la organización en base a una comparación con factores previamente definidos, los cuales asignaremos un peso específico (ranking) para poder comparar varios proveedores en forma más objetiva y cuantitativa.
Contar con buenos proveedores no solo significa tener aliados de calidad si no además con precios competitivos.
La clave pasa por encontrar un equilibrio entre calidad y precio del proveedor. Los mejores pueden ser demasiado caros, por lo que contratarlos no sería una decisión eficiente y los más baratos pueden no proporcionarnos la calidad que necesitamos, por lo que no serían efectivos para conseguir nuestras metas.
La mayoría de los expertos en adquisiciones estarán de acuerdo en que no hay una mejor manera de evaluar y seleccionar proveedores, y las organizaciones utilizan una variedad de enfoques diferentes. Independientemente del enfoque empleado, el objetivo general del proceso de evaluación debe ser reducir el riesgo de adquisición y maximizar el valor general para la organización compradora.
Vamos a analizar aquí en qué consiste y cómo realizar una selección y evaluación de proveedores.
Indice
Selección y evaluación de proveedores
El proceso de evaluación de proveedores es un fase más dentro de la selección de proveedores, que posee estos pasos:
- Búsqueda de proveedores: En este paso podemos realizar incluso un RFI (recopilar información sobre sus capacidades) y RFP (solicitud de propuestas).
- Criterios de selección: Depende de cada organización, pero existen algunos comunes como: precio, calidad, garantías, plazos de entregas, formas de pago e imagen de empresa.
- Evaluación de proveedores: Aquí realizaremos el filtrado o criba de proveedores.
- Selección de proveedores: Elección del proveedor más adecuado para la organización cumpliendo con los criterios de selección previamente establecidos.
Para poder realizar una evaluación de proveedores es conveniente crear un formulario de evaluación donde definiremos los factores claves para elegir un proveedor, agregando también los pesos específicos de cada uno de estos.
Criterios
Ahora examinaremos brevemente algunos de los diferentes criterios que una organización puede usar para evaluar proveedores potenciales. Aunque puede que no sea posible obtener toda la información relevante, los datos que se puedan obtener definitivamente ayudarán a la organización compradora a evaluar el potencial de una coincidencia exitosa.
1. Capacidades de proceso y diseño
Los proveedores deben tener productos actualizados y capaces, así como tecnologías de proceso para producir el material necesario. Debido a que los diferentes procesos de fabricación y servicio tienen varias fortalezas y debilidades, la organización compradora debe conocer estas características por adelantado.
Cuando la organización compradora espera que los proveedores realicen el diseño y la producción de componentes, también debe evaluar la capacidad de diseño del proveedor. Una forma de reducir el tiempo requerido para desarrollar nuevos productos es utilizar proveedores calificados que puedan realizar actividades de diseño de productos.
2. Calidad y fiabilidad
Los niveles de calidad del artículo de adquisición deben ser un factor muy importante en la selección de proveedores.
La calidad del producto debe cumplir de manera consistente con los requisitos específicos, ya que puede afectar directamente la calidad de los productos terminados.
Además de los niveles de calidad confiables, la confiabilidad también se refiere a otras características del proveedor. Por ejemplo, ¿es confiable el tiempo de entrega del proveedor? De lo contrario, la producción puede verse interrumpida debido a la escasez de material.
3. Coste
Si bien el precio unitario del material no suele ser el único criterio en la selección del proveedor, el costo total de propiedad es un factor importante.
El costo total de propiedad incluye:
- precio unitario del material,
- condiciones de pago,
- descuento en efectivo,
- coste de pedido,
- coste de mantenimiento,
- costes de logística,
- costes de mantenimiento y
- otros costes más cualitativos que pueden no ser fáciles de evaluar.
4. Servicio
Los proveedores deben poder hacer una copia de seguridad de sus productos proporcionando buenos servicios cuando sea necesario.
Por ejemplo, cuando se necesita información del producto o servicio de garantía, los proveedores deben responder de manera oportuna.
5. Capacidad
La organización también puede necesitar considerar si el proveedor tiene la capacidad de completar pedidos para cumplir con los requisitos y la capacidad de completar grandes pedidos si es necesario.
6. Ubicación
La ubicación geográfica es otro factor importante en la selección de proveedores, ya que afecta el tiempo de entrega, el transporte y los costos de logística.
Algunas organizaciones requieren que sus proveedores estén ubicados a cierta distancia de sus instalaciones.
7. Capacidad de gestión
Evaluar la capacidad de gestión de un proveedor potencial es un paso complicado pero importante.
Los diferentes aspectos de la capacidad de gestión incluyen:
- el compromiso de la gerencia con el proceso continuo y la mejora de la calidad,
- capacidad y experiencia profesional en general,
- capacidad para mantener relaciones positivas con su fuerza laboral y
- disposición a desarrollar una relación de trabajo más cercana con el comprador.
8. Condición financiera y estructura de costes
Una evaluación de la condición financiera de un socio potencial generalmente ocurre durante el proceso de evaluación.
Los equipos de evaluación generalmente evaluarán los diferentes índices financieros que determinan si un proveedor puede invertir en recursos, pagar a sus proveedores y a sus empleados, y continuar cumpliendo con sus obligaciones financieras y de deuda.
Estos aspectos son esenciales para verificar si el proveedor continuará siendo una fuente de suministro confiable, y que no se interrumpirá ese suministro.
9. Sistema de planificación y control
Los sistemas de planificación y control incluyen aquellos sistemas que liberan, programan y controlan el flujo de trabajo dentro de una organización y también con terceros.
La sofisticación de tales sistemas puede tener un gran impacto en el rendimiento de la cadena de suministro.
Por ejemplo, ¿cómo de fácil de usar es el sistema de pedidos de un proveedor y cuál es el tiempo normal del ciclo de pedidos?
Hacer pedidos con un proveedor debe ser fácil, rápido y efectivo. El tiempo de entrega debe ser corto, de modo que los lotes pequeños se puedan pedir con mayor frecuencia para reducir los costes de mantenimiento de inventario.
10. Cumplimiento de la normativa ambiental
La década de 1990 trajo una conciencia renovada del impacto que la industria tiene en el medio ambiente. Como resultado, la capacidad de un proveedor para cumplir con las regulaciones ambientales se está convirtiendo en un criterio importante para las alianzas de la cadena de suministro.
Esto incluye, pero no se limita a, la eliminación adecuada de residuos peligrosos.
11. Disposición para compartir tecnologías e información
Con la tendencia actual que favorece la contratación externa para explotar las capacidades de los proveedores y centrarse en las competencias básicas, es vital que las organizaciones busquen proveedores que estén dispuestos a compartir sus tecnologías e información.
Los proveedores pueden:
- ayudar en el diseño y desarrollo de nuevos productos a través de su participación para garantizar opciones de diseño rentables,
- desarrollar soluciones conceptuales alternativas,
- seleccionar los mejores componentes y tecnologías y
- ayudar en la evaluación del diseño.
Al aumentar la participación del proveedor en el proceso de diseño, el comprador es libre de centrar más atención en las competencias básicas.
12. Potencial de relación a largo plazo
En algunos casos, una organización puede estar buscando desarrollar una relación a largo plazo con un proveedor potencial.
Esto es particularmente cierto si el proveedor está en el cuadrante ‘crítico’, y la categoría de gasto es de alto volumen y crítica para el negocio de la organización.
Este enfoque requiere que las partes compartan sus objetivos mutuos, establezcan métricas para guiar la relación y desarrollen una serie de discusiones continuas sobre cómo los problemas y conflictos pueden resolverse de una manera mutuamente beneficiosa.
Estas relaciones también pueden involucrar proyectos conjuntos de ahorro de costes y nuevos esfuerzos de desarrollo de productos.
13. Tarjetas de puntuación de selección de proveedores
Durante la etapa de selección, a veces las organizaciones necesitan una forma estructurada para evaluar proveedores alternativos.
Esto puede ser particularmente difícil cuando los criterios incluyen no solo medidas cuantitativas (como los costes y las tasas de entrega a tiempo) sino otros factores más cualitativos, como la estabilidad o la confiabilidad de la gestión.
Se puede utilizar un cuadro de mandos de selección de proveedores como herramienta de apoyo a la decisión. El equipo de evaluación atribuirá un valor a las distintas categorías y establecerá una puntuación numérica para cada proveedor en cada categoría, determinando así una puntuación de desempeño final.
Modelos
Existen distintos modelos para evaluar proveedores. Algunos son:
- RFP: Request for Proposal. Consiste en recopilar información escrita sobre las capacidades de varios proveedores.
- Modelo Carter 10 C’s: Modelo más avanzado que el RFP. Se basa en los siguientes parámetros:
- Capacidad: ¿El proveedor tiene la capacidad para entregar lo que ofrece?
- Competencia: ¿El proveedor puede completar la tarea en un periodo de tiempo determinado?
- Consistencia: ¿El proveedor ofrece resultados constantes?
- Control del proceso: ¿El proveedor ofrece flexibilidad y tiene un control sistemático sobre su proceso?
- Compromiso con la calidad: ¿Existe un sistema establecido por el proveedor que verifique la gestión de la calidad?
- Solvencia financiera: ¿El proveedor es independiente financieramente o trabaja con la participación de terceros?
- Coste: ¿Los productos y servicios que ofrece son rentables?
- Cultura: ¿El proveedor tiene buena cultura laboral y una buena reputación en el mercado? Contemplar también la cultura de ciberseguridad que posea.
- Cumplimiento legal: ¿El proveedor tiene licencia legal para realizar el trabajo que ofrece?
- Eficiencia en la comunicación: ¿El proveedor cuenta con los medios de comunicación necesarios para responder a las consultas que se le hacen?
- ISO 9001:2015: Esta normativa recomienda para la evaluación de proveedores los siguientes criterios:
- Calidad,
- Fiabilidad de plazos,
- Flexibilidad,
- Información en todo lo que rodea al suministro del producto/servicio y
- Competitividad
Ciberseguridad en la relación con los proveedores
Las herramientas digitales han abierto una enorme lista de posibilidades de colaboración entre empresas (clientes, proveedores, colaboradores).
Trabajar en cloud o en redes extranet, comunicar información (incluso sensible y confidencial) globalmente en tiempo real tanto con los empleados como con proveedores y terceros desde cualquier dispositivo que disponga de conexión a Internet a través del que se envía mucha información, incluso desde un móvil que llevamos con nosotros, es desde hace unos años una realidad.
Existe una normativa específica de la familia ISO 27000 para la relación con los proveedores, se trata de la “ISO/IEC 27036 – Suppliers Relationships”.
Estas soluciones y aplicaciones dependen normalmente de plataformas externas que pueden poner en riesgo a nuestra organización.
Mientras la tecnología ha simplificado mucho la operativa de las empresas, la gestión de la ciberseguridad se ha hecho compleja en la misma proporción (o aún más).
Por todo ello es muy complicada la relación entre conseguir tener una buena gestión de la ciberseguridad y una adecuada gestión de los proveedores tecnológicos.
Es importante comprender que actualmente una buena gobernanza y gestión de la ciberseguridad de los sistemas de información de nuestra organización no depende exclusivamente de lo que realicemos dentro de nuestros sistemas de información y la formación y concientización que demos a nuestros empleados, si no también del control que realicemos sobre nuestros proveedores.
Los hackers y ciberatacantes muchas veces realizan ataques a proveedores de grandes empresas no como objetivo final del ataque, si no como un medio para acceder a sus clientes que muchas veces al ser más grandes poseen un grado de maduración de la seguridad más alta haciendo más complejo acceder a estos por los controles técnicos que poseen en su perímetro, pero por esta vía consiguen el mismo objetivo.
Cuestiones a tener en cuenta
La mayoría de las empresas se fían de los contratos suscritos con sus proveedores pero con el incremento de los ciberataques han surgido las dudas. No es suficiente tener un buen contrato con los proveedores.
Debemos tener en cuenta las siguientes cuestiones:
- Propiedad de los datos: Aunque el objetivo de un ciberataque sea un proveedor de servicios, si lo que roban son datos de nuestra organización, el problema es nuestro y no del proveedor (es por ello que es esencial tener un contrato con un correcto blindaje contractual con descarga de responsabilidad, aunque el riesgo de que tengamos un impacto a nivel legal siempre existe).
- No estamos cubiertos por las garantías del proveedor: Es normal que en los contratos se garanticen servicios seguros, pero en casi todos se incorporan cláusulas según las que, en caso de problemas importantes o situaciones excepcionales, se desvanece la responsabilidad de los proveedores. Por eso no podemos confiar ciegamente en el blindaje contractual.
- La indemnización no es la solución: Muchos proveedores indemnizan a sus clientes en caso de problemas de ciberseguridad. A pesar de ello, la indemnización puede no ser suficiente para cubrir los gastos derivados de las quejas y reclamaciones de los clientes (más aún si la afectación es masiva), sin tener en cuenta la pérdida de confianza y de imagen de la empresa que también
tiene un alto impacto. - Pólizas de seguros del proveedor: Si nuestra empresa está incluida como beneficiaria en la póliza del proveedor, existe una mayor seguridad en el caso de un ciberataque, sin embargo, el objetivo de las coberturas dependerá mucho del tipo de servicios que preste el proveedor.
El perímetro informático de las organizaciones tal cual lo conocíamos ya no existe. Actualmente este perímetro es difuso y con este cambio el riesgo se ha incrementado notablemente.
Normativa
Existe normativa específica como es la ISO 28000:2007 – Gestión de la Seguridad de la Cadena de Suministro que intenta dar luz sobre la problemática relacionada con la ciberseguridad desde un punto de vista holístico (no solo nuestros sistemas de información, si no el riesgo que asumimos en toda la cadena de suministro).
La ISO 28000:2007 recoge las exigencias y requisitos necesarios para garantizar un Sistema de Gestión de la Seguridad en la Cadena de Suministros.
Desde el punto de vista metodológico, la norma ISO 28000:2007 sigue el Ciclo de Deming, también conocido por PDCA (Plan, Check, Do, Act).
El enfoque utilizado ya no es el basado en procesos del sistema de gestión (al estilo de la ISO 9001:2015), sino que se trata de un enfoque basado en la evaluación del riesgo.
De esta evaluación del riesgo se obtendrá la información necesaria para:
- Establecer los objetivos y las metas para la gestión de la seguridad.
- Establecer los programas de gestión de la seguridad.
- Determinar los requisitos para el diseño, la especificación y la implantación.
- Identificación de los recursos necesarios.
- Identificación de las necesidades de formación y las habilidades.
- Desarrollar los controles operacionales.
- Marco de trabajo para la gestión de los riesgos globales de la organización.
Beneficios de la implementación de la ISO 28000:2007
Al implementar la ISO 28000:2007 obtenemos los siguientes beneficios:
- Resiliencia empresarial integrada.
- Prácticas de gestión sistematizadas.
- Mayor credibilidad y reconocimiento de marca.
- Terminología alineada y uso conceptual.
- Rendimiento mejorado de la cadena de suministro.
- Benchmarking utilizando criterios internacionalmente reconocibles.
- Mejores procesos de cumplimiento.
Claves para gestionar la ciberseguridad con proveedores
Para intentar gestionar el desafío que plantea la gestión de la ciberseguridad en la relación de los proveedores, existen algunas claves de éxito:
- Involucrar al Área Legal o de Compliance: Trabajar conjuntamente con estas áreas para analizar y/o redactar los contratos con los proveedores.
- Efectuar análisis de riesgos previamente a contratar un proveedor: Antes de contratar cualquier servicio es esencial analizar las políticas de ciberseguridad de los proveedores.
- Contratar ciberseguros: Los seguros debidamente diseñados para cada caso son esenciales para mitigar el impacto de los ciberataques.
Gestión de entrega de servicios del proveedor
Cualquier organización, como responsable de los datos que trata, y según el principio de responsabilidad proactiva y los principios del RGPD, deberá elegir a sus proveedores o encargados de tratamiento de manera que éstos aseguren el cumplimiento de esta norma en el tratamiento de estos datos. Para ello deben ofrecer garantías suficientes de que implantan las medidas técnicas y organizativas funcionales apropiadas, de manera que el tratamiento sea conforme con los requisitos del RGPD. Esta garantía debe extenderse a posibles subcontrataciones que estos pudieran a su vez realizar.
Además, deberemos asegurar que nuestro proveedor o encargado de tratamiento no sólo sea capaz de aplicar las medidas de seguridad sobre nuestros datos, en función de los controles mínimos que le hemos exigido, sino que también sea capaz de demostrarlo.
Para intentar demostrar la capacidad del proveedor para llevar a cabo estas medidas, existen diversas opciones:
- Incluir en el contrato el derecho a realizar una auditoría o verificación de las medidas de seguridad, pudiendo o no definir plazos para hacerlo.
- Incluir en el contrato la obligación al proveedor de realizar auditorías de las medidas de seguridad, utilizando una empresa externa especializada.
- Solicitar que el proveedor se certifique en estándares que ayuden a demostrar el cumplimiento del RGPD (ejemplos de normas que sean certificables y ayuden a la adecuación del RGPD son: ISO/IEC 27001 o ISO/IEC 27018). La gestión de proveedores en la ISO/IEC 27001:2013 consigue que una organización se beneficie de las ventajas que ofrece la tercerización, reduciendo los riesgos sobre la seguridad de la información, los costes de administración y monitorización del riesgo e incrementando la capacidad de respuesta ante un incidente de seguridad.
Cláusulas de un contrato de servicio
En el contrato sobre la prestación del servicio que firmemos con nuestros proveedores podemos incluir las siguientes cláusulas:
- Derecho a auditoría: garantiza a la organización contratante, el derecho a evaluar y auditar los controles de seguridad implementados por el proveedor, en forma periódica o cuando se presenten cambios significativos en los controles o en la relación contractual entre ambas partes.
- Notificaciones sobre infracciones en la seguridad: esta cláusula obliga al proveedor a informar a la organización contratante sobre cualquier violación a la seguridad de la información que afecte sus operaciones o sus negocios.
- Aceptación de las prácticas de seguridad: con esta cláusula el proveedor declara que conoce y acepta sin restricciones las prácticas de seguridad de la información propuestas por el contratante, y que comunicará en forma oportuna, su imposibilidad de adherirse a alguna o todas en un momento determinado.
- Tiempo de respuesta en caso de incidentes de seguridad: el proveedor tiene la obligación de comunicar al contratante los sistemas que ha previsto ante posibles violaciones de la seguridad, y los tiempos en que esas acciones tendrán efecto.
- Demostración de cumplimiento: el proveedor debe demostrar con evidencia irrefutable, que los controles que ha implementado y las acciones correctivas que ha diseñado cumplen con los requisitos contractuales. Es probable que esta demostración de cumplimiento requiera una auditoría o una verificación de algún tercero.
- Control sobre la cadena de suministro: es posible que el proveedor aplique a otras empresas con las que firme acuerdos comerciales las mismas políticas y condiciones que la empresa contratante le ha impuesto a él.
- Comunicación sobre cambios: el proveedor debe informar a la organización contratante, todos los cambios en su entorno que afecten el negocio o la operación de su cliente en forma oportuna.