Skip to content
French Riviera - old sail race start aerial view with Antibes view

Cómo navega la IA por el riesgo de terceros en un panorama de riesgos que cambia rápidamente

Autores

  • EY Global

    Multidisciplinary professional services organization

  • EY Global

    Multidisciplinary professional services organization

19 minute read 24 abr. 2025
Temas relacionados
Consultoría
Riesgo
Ciberseguridad

La 2025 EY Global Third-Party Risk Management Survey revela nuevos enfoques para gestionar los riesgos de terceros en un entorno más volátil.

En resumen

  • Los líderes de riesgo están utilizando la IA y la centralización para transformar fundamentalmente sus funciones de gestión de riesgos de terceros de cara al futuro.
  • Los riesgos operativos y de ciberseguridad crecen al tiempo que aumentan el número y la complejidad de las relaciones con terceros.
  • La incertidumbre empresarial y las presiones sobre los costos están impulsando imperativos de eficiencia para la gestión de riesgos de terceros. 

Es un fresco día de otoño en Frankfurt. El lugar es la sede de una gran empresa de productos de consumo. Maya, una directiva del nuevo RiskAI Hub de la empresa —la torre de control centralizada impulsada por IA responsable de coordinar la gestión de riesgos de terceros (TPRM, por sus siglas en inglés) en toda la empresa global— recibe una alerta de Orion, su asistente de IA. Orion está captando un pico de sentimiento negativo en las redes sociales relacionado con un proveedor crítico de Tier-2 en el sudeste asiático. A medida que rastrea el pico, impulsado por la cobertura informativa local de un vertido químico, el modelo de analítica predictiva de Orion actualiza continuamente la creciente probabilidad de una disrupción importante de la cadena de suministros. Maya pide a Orion que siga vigilando la situación y recopile datos para identificar las causas profundas del incidente, incluido cualquier fallo en el cumplimiento, el rendimiento o la supervisión. A medida que la situación se deteriora, Orión trabaja directamente con Vega, su homóloga de IA agencial en el proveedor, para redactar un plan de remediación para revisión humana.

Este es el futuro del TPRM. Es un futuro en el que las evaluaciones de riesgo anuales o bienales han sido sustituidas por una supervisión en tiempo real las 24 horas del día, los 7 días de la semana, basada en una sofisticada detección del mercado mediante un amplio espectro de datos. Es un mundo en el que el uso de agentes de IA permite agilizar y centralizar el TPRM como nunca antes. Es un futuro que puede estar mucho más cerca de lo que muchos suponen, y que es muy necesario en un entorno de riesgo externo transformado.

Una confluencia de tendencias ha sacudido el entorno del riesgo exterior en los últimos años. Las cadenas mundiales de suministros se han visto sacudidas por repetidas sacudidas —precipitadas por la pandemia, los conflictos geopolíticos y el cambio climático— que han atraído una mayor atención sobre la resiliencia de los proveedores y los posibles impactos de terceros. El creciente número de ciberataques —el FMI estima que las pérdidas por ciberataques se han más que duplicado desde la pandemia y más que cuadruplicado desde 2017— ha aumentado el potencial de riesgo cibernético a través de las relaciones con terceros. El mayor escrutinio normativo y las presiones de las partes interesadas han hecho que se preste más atención a las prácticas de terceros relacionadas con una serie de riesgos de cumplimiento, que van desde la privacidad de los datos a las normas medioambientales.

Estos acontecimientos son emblemáticos de un nuevo entorno en el que los riesgos están más interconectados, no son lineales, se aceleran y son más volátiles que en el mundo anterior a la pandemia.

Los enfoques están cada vez más desalineados con las demandas competitivas actuales y el complejo entorno de riesgo. El TPRM nunca ha estado más maduro para la transformación.

Amy Gennarini

EY Global Risk Consulting Technology Leader

Desafortunadamente, la actual TPRM está fundamentalmente desalineada con este nuevo entorno de riesgo. En medio de un cambio acelerado, TPRM se basa en procesos lentos e intermitentes. En un mundo de riesgos interconectados, está aislada y descoordinada. En un contexto de crecimiento no lineal y de puntos de inflexión imprevistos que requieren agilidad e innovación, ha tardado en adaptarse. Y en un momento de tremenda disrupción —en el que las empresas necesitan reinventar los modelos de negocio y encontrar nuevas formas de crear valor—, el TPRM suele estar desconectado de las métricas empresariales generales y de los objetivos estratégicos.

Durante muchos años, el paso a la centralización de los programas de TPRM ha proporcionado una vía para abordar al menos algunas de estas fuentes de desajuste. Sin embargo, aunque la adopción de enfoques centralizados ha crecido con el tiempo, las limitaciones organizativas suelen obstaculizar una implantación más amplia, y sólo abordándolas podrán las empresas aprovechar todo su potencial. La inteligencia artificial (IA) ofrece una forma de acelerar el camino hacia la centralización.

Pero la mayor oportunidad con la IA está en utilizarla para reinventar fundamentalmente el TPRM, haciéndolo más resiliente y alineado con el nuevo entorno de riesgo. En un mundo cada vez más rápido y volátil, la IA puede llevar a cabo una supervisión de riesgos en tiempo real a escala masiva mediante el análisis de flujos de datos continuos, como alertas de noticias, datos financieros y streams de redes sociales, y la síntesis de estas entradas externas con los datos operativos internos de la empresa. En un entorno de riesgos interconectados y cambios no lineales, la IA puede utilizarse para simular escenarios e impactos, ayudando a superar los fallos humanos de imaginación.

"Muchas empresas se han centrado repetidamente en resolver el último problema —la pandemia de COVID, la resiliencia de la cadena de suministros, etc.— en lugar de abordar el TPRM de forma estratégica y cohesionada", afirma Amy Gennarini, EY Global Risk Consulting Technology Leader. "Mientras que las normativas en sectores como los servicios financieros han empujado a esas empresas a considerar el riesgo de forma holística, muchas otras aún lo abordan en bolsillos o silos. Tales enfoques son cada vez más inadecuados para las demandas competitivas actuales y el complejo entorno de riesgo. El TPRM nunca ha estado más madura para la transformación".

La edición 2025 de la EY Global Third-Party Risk Management Survey contiene valiosas perspectivas para los líderes que navegan por este desafiante espacio. Realizada en colaboración con Oxford Economics, la encuesta pretende comprender cómo gestionan las organizaciones el TPRM, incluidas las mejores prácticas, los desafíos y las perspectivas.

Team of two girls deftly managed to sail in the sea
1

Capítulo 1

Las relaciones más complejas con más terceros crean nuevos desafíos

Nuestra encuesta revela cambios en las prioridades de riesgo de los líderes a medida que el entorno de riesgo se vuelve más volátil y los desafíos empresariales aumentan la presión sobre la eficiencia.

El nuevo entorno de riesgo es sorprendente en un momento en el que los gestores de riesgos ya se enfrentan a crecientes presiones empresariales dentro de sus organizaciones. "El número de relaciones con terceros gestionadas por una empresa tipo ha aumentado considerablemente en los últimos años, al igual que la complejidad de estas relaciones", afirma Kapish Vanvaria, EY Global Risk Consulting Leader. Un entorno de persistente incertidumbre empresarial y presiones de costos está creando un imperativo para que los líderes lleven a cabo la gestión de riesgos de terceros de una manera más eficaz. La IA ha demostrado ser un factor de cambio en este campo".

Las empresas se enfrentan a múltiples riesgos de terceros y adoptan una línea más dura

Los desafíos contrapuestos que plantea el nuevo entorno de riesgo son visibles en las respuestas a la encuesta. Entre ellas se incluye un mayor énfasis en la resiliencia operativa y la ciberseguridad.

Un entorno de persistente incertidumbre empresarial y presiones de costos está creando un imperativo para que los líderes lleven a cabo la gestión de riesgos de terceros (TPRM, por sus siglas en inglés) de una manera más eficaz. La IA ha demostrado ser un factor de cambio.

Kapish Vanvaria

EY Global Risk Consulting Leader

El "riesgo operativo" ha saltado al primer puesto entre los factores que las empresas tienen en cuenta a la hora de supervisar a los subcontratistas, sustituyendo al "riesgo de concentración" en la encuesta de 2023. En la encuesta actual, 57 % de los encuestados citan el riesgo operativo como un factor que tienen en cuenta, un aumento significativo respecto a los 40 % de la encuesta de 2023. Un cambio similar es visible en los criterios utilizados para identificar a terceros críticos: entidades cuya disrupción o fallo podría afectar significativamente a la capacidad de la organización para operar. Aunque el "impacto financiero" sigue siendo el criterio más importante utilizado para definir a un tercero crítico (43 %), le sigue de cerca la "criticidad del proceso/función empresarial", con 39 %. Mientras tanto, la "continuidad y resiliencia empresarial" ha registrado el mayor aumento de importancia, pasando de 14 % en 2023 a 23 % en la encuesta actual. 

Riesgo operacional
de los encuestados citan el riesgo operativo como una consideración para terceros, frente al 40 % en 2023.

Cómo EY puede ayudar

Una forma en que las empresas están respondiendo a estos mayores riesgos es tomando medidas enérgicas durante las evaluaciones de control de terceros. Si los terceros no responden a los cuestionarios a tiempo, ahora es más probable que las empresas escalen los procesos empresariales (87 % de los encuestados, frente a 70 % en 2023) o incluso que cesen por completo sus operaciones (29 % frente a 17 % en 2023). Cuando se identifican riesgos durante las evaluaciones, las empresas se inclinan mucho más que antes por la vía de la remediación, ya que el 57 % de los encuestados afirma que opta por la remediación, frente a sólo el 17 % en 2023.

 

Aumentan el número y la complejidad de las relaciones con terceros

Aunque las empresas siempre han tratado con terceros, el número y la complejidad de estas relaciones han crecido en los últimos años. Un clima empresarial desafiante ha impulsado el imperativo de hacer más con menos, y las empresas han recurrido a menudo a terceros para desbloquear la eficiencia operativa. La adopción de iniciativas de transformación digital ha ampliado el ecosistema de terceros, ya que las empresas recurren cada vez más a terceros para los servicios en la nube, los proveedores de software como servicio (SaaS) y otras plataformas digitales.

 

El resultado final es que las empresas dependen más que nunca de un gran número de proveedores de servicios especializados. Las empresas de servicios financieros actuales, por ejemplo, se asocian con multitud de proveedores de servicios fintech, como procesadores de pagos, proveedores de préstamos y plataformas de inversión. Las empresas sanitarias dependen de proveedores externos para servicios como la telemedicina, los historiales médicos electrónicos y los suministros médicos. En todos los sectores, las empresas están recurriendo a proveedores de servicios externos para todo, desde los recursos humanos hasta la inteligencia empresarial y la logística de la cadena de suministros.

 

Esto, a su vez, ha aumentado el número de funciones empresariales que dependen de terceros y están expuestas a riesgos de terceros. En el pasado, un banco podía tener una o dos verticales de riesgo que se preocupaban por el riesgo de terceros; hoy, ese número podría superar las 20. 

 

El ascenso de estos proveedores de servicios especializados no sólo ha aumentado el número de relaciones con terceros, sino también su complejidad. En el pasado, muchas de estas actividades podrían haberse realizado manualmente dentro de la seguridad del entorno de una empresa o, como mucho, con una interfaz de programación de aplicaciones (API) que conectara con el entorno de la empresa. Hoy en día, esas mismas actividades pueden implicar a una red de terceros que trabajan en entornos que no son propiedad ni están controlados por la empresa. A su vez, esos terceros contratan con sus propias redes de terceros la prestación de servicios. La conclusión es que la "gestión de riesgos de terceros" ya es algo así como un término equivocado: las empresas de hoy en día tienen que lanzar una red más amplia para considerar no sólo los riesgos de terceros, sino también los de cuarta, quinta y enésima parte. 

El número de funciones empresariales que dependen de terceros y que están expuestas a riesgos de terceros ha aumentado enormemente. En el pasado, un banco podía tener una o dos verticales de riesgo que se preocupaban por el riesgo de terceros; hoy, ese número podría superar las 20. 

La complejidad del ecosistema de terceros se complica aún más por el aumento de la dependencia de terceros no tradicionales (NTTP ,por sus siglas en inglés), como asociaciones estratégicas, revendedores, agentes de bolsa, terceros legales y otros.

Los resultados de la encuesta reflejan estas tendencias. Navegar por los riesgos relacionados con un número cada vez mayor de terceros sigue siendo una función vital para los programas de TPRM. El desafío es especialmente grave para los programas de TPRM más recientes y menos maduros, que gestionan activamente a más terceros que los programas establecidos (que gestionan activamente a menos terceros adoptando una priorización basada en el riesgo). Los programas de TPRM que tienen menos de tres años gestionan una mediana de 275 terceros, mientras que los que llevan más de una década gestionan una mediana de 80 terceros. Los encuestados informan de una carga cada vez mayor relacionada con la supervisión de los NTTP. En todos los tipos, el número de NTTP supervisados aumentó una media de 20 % con respecto al año pasado. Las empresas también están invirtiendo recursos en la supervisión de los riesgos de la enésima parte, con casi dos tercios (64 %) de los encuestados diciendo que "la diligencia de terceros incluye la validación de su programa TPRM, así como la evaluación de riesgos/control de su población de terceros y sus subcontratistas."

Great view of sailing boats at a sea regatta
2

Capítulo 2

La IA crea una oportunidad sin precedentes para reinventar el TPRM

La IA y el aumento de la centralización están ayudando a las empresas a recorrer caminos complicados en TPRM como nunca antes.

Las funciones de TPRM necesitan nuevas formas de operar para hacer frente a las presiones contrapuestas del nuevo entorno de riesgo, el creciente número y complejidad de las relaciones con terceros y la necesidad de hacer más con menos. La transformación del TPRM es un viaje, desde la búsqueda de ganancias marginales de eficiencia en el extremo cercano, hasta la transformación fundamental en el otro. Las empresas llevan tiempo en este camino, sobre todo con el impulso hacia una mayor centralización. La aparición de la IA brinda la oportunidad tanto de acelerar la centralización como de transformar el TPRM.

La centralización del TPRM ha iniciado a las empresas en el camino hacia una mayor eficiencia

Siguiendo una pauta de varios años, la encuesta de 2025 muestra una tendencia hacia una mayor centralización de la gestión de los recursos humanos en los países en desarrollo. Un número cada vez mayor de organizaciones utiliza programas de TPRM centralizados para toda la empresa (57 % en 2025, frente a 54 % en 2023).

La centralización del TPRM ofrece muchas ventajas. Reduce los puntos de fricción; en lugar de ponerse en contacto con el mismo tercero varias veces, a menudo con solicitudes duplicadas y parcialmente redundantes, la divulgación puede hacerse una sola vez y de forma coordinada y racionalizada. Los datos de la encuesta sugieren que muchas organizaciones podrían beneficiarse de esa racionalización. A la hora de realizar evaluaciones de control, aproximadamente cuatro de cada diez empresas (43 %) siguen utilizando varios cuestionarios para distintos ámbitos de riesgo. Envían a terceros una media de 55 cuestionarios. Si a esto se añade la carga de cumplimiento que supone cada cuestionario adicional (45 % de los encuestados afirman que los cuestionarios de evaluación del control tienen entre 101 y 200 preguntas, mientras que otros 36 % tienen entre 201 y 350 preguntas), resulta evidente que hay mucho margen para un enfoque centralizado que reduzca la carga de cumplimiento y los puntos de fricción con terceros.

Fundamentalmente, el TPRM centralizado permite una mejor coordinación y una evaluación de riesgos más holística. "Un enfoque centralizado de TPRM permite a una organización conectar los puntos a través de verticales y ver el panorama general", dice Rohit Mathur, EY Global Risk Consulting Strategy Leader y EMEIA Risk Consulting Leader, "Por ejemplo, el equipo de Ciberseguridad de una organización puede estar monitoreando a un tercero con respecto al riesgo cibernético. Ese tercero podría tener controles cibernéticos robustos y puntuar alto con respecto al riesgo cibernético. Pero, al mismo tiempo, esta parte puede estar sufriendo una hemorragia de dinero, con una alta probabilidad de quiebra en los próximos seis meses, lo que obviamente pondría en peligro su capacidad para invertir en controles cibernéticos en el futuro. Si la organización no conecta los puntos entre el riesgo cibernético y el financiero, se perdería el panorama general".

Los beneficios de la centralización son visibles en los datos de la encuesta. El 92 % de las organizaciones con una estructura centralizada de TPRM han invertido directamente en mejorar y optimizar las capacidades y la eficacia del programa. Entre las principales ventajas que se atribuyen a esta maduración figuran una mejor experiencia para el usuario (56 %), una mayor comprensión de los riesgos durante el proceso de toma de decisiones (52 %), la exhaustividad y exactitud de los datos (51 %) y la normalización (51 %). 


Las estructuras centralizadas de TPRM también muestran una mayor madurez en varias áreas clave en comparación con las estructuras híbridas. Son más maduros en inventario de terceros (58 % centralizado frente a 39 % híbrido), modelos de riesgo (51 % centralizado frente a 36 % híbrido), metodología de evaluación (49 % centralizado frente a 33 % híbrido), políticas y normas (46 % centralizado frente a 31 % híbrido), y gobernanza y supervisión (43 % centralizado frente a 29 % híbrido).

La IA es un catalizador de valor y una oportunidad para reinventar el TPRM

La IA tiene un enorme potencial para disrumpir el TPRM, permitiendo no sólo una mayor eficiencia, sino también un enfoque fundamentalmente diferente para identificar, supervisar y gestionar los riesgos de terceros.

Los primeros casos de uso adoptados por las empresas se centrarán a menudo en utilizar la IA para automatizar los procesos manuales existentes y generar eficiencias operativas. Esto incluye agilizar las tareas repetitivas —como la recopilación de datos, las evaluaciones iniciales de riesgos y la incorporación de proveedores— y acelerar las evaluaciones de riesgos. Más allá de esto, el verdadero potencial de la IA no está tanto en automatizar los procesos existentes como en desplegarla para crear valor llevando a cabo el TPRM de formas fundamentalmente diferentes.

Considera cómo la IA podría crear eficiencias significativas y reinventar las formas tradicionales de trabajo, a través de las diferentes etapas del ciclo de vida del TPRM:

  • Identificación de proveedores: en lugar de compilar manualmente las listas de proveedores, la IA utiliza algoritmos para escanear las bases de datos e identificar a los proveedores basándose en criterios predefinidos, lo que hace que el proceso sea más rápido y exhaustivo.
  • Evaluación de riesgos: los modelos de IA evalúan los riesgos basándose en datos históricos y analítica predictiva, proporcionando puntuaciones de riesgo objetivas.
  • Diligencia debida: la IA sustituye las lentas y laboriosas revisiones manuales de documentos por la recopilación y el análisis automatizados de la documentación de los proveedores, como los registros financieros y de cumplimiento.
  • Negociación de contratos: la IA analiza los términos contractuales mediante el procesamiento del lenguaje natural (NLP, por sus siglas en inglés) para identificar riesgos y sugerir mejoras basadas en las mejores prácticas.
  • Incorporación: la IA agiliza el proceso de incorporación mediante flujos de trabajo y listas de comprobación automatizados, al tiempo que consolida el cumplimiento de los requisitos.
  • Monitoreo: la IA supervisa continuamente el rendimiento de los proveedores mediante analítica de datos en tiempo real y alerta de cualquier anomalía o problema de cumplimiento.
  • Gestión de incidentes: la IA utiliza análisis predictivos para identificar posibles incidentes antes de que se produzcan y realiza análisis de escenarios para prever riesgos de "efecto dominó" que pueden quedar ocultos en enfoques más lineales y aislados.
  • Formación y concienciación: la IA proporciona módulos de formación personalizados basados en las necesidades individuales de los empleados y en sus estilos de aprendizaje.

A pesar de su potencial, la adopción de la IA en el TPRM sigue siendo relativamente baja. Sólo el 13 % de las empresas han optimizado la tecnología y la automatización dentro de sus programas TPRM (o han alcanzado el "Nivel 5" de madurez).

"El uso de la IA está en pañales", afirma Gennarini. "Hasta ahora, la mayoría de las funciones de TPRM sólo están desplegando la IA a baja escala y están utilizando capacidades que existen desde hace mucho tiempo, como el reconocimiento óptico de caracteres (OCR, por sus siglas en inglés) en la búsqueda de documentos".

La nueva generación de modelos de IA, incluida la IA agencial, pasará de buscar eficiencias operativas incrementales a llevar a cabo el TPRM de formas fundamentalmente diferentes. Por ejemplo, en lugar de limitarse a utilizar OCR y NLP para revisar los términos contractuales, un mundo de agentes de IA podría permitir a los agentes trabajar directamente con agentes de terceros para negociar contratos basados en datos de mercado, objetivos empresariales y requisitos de gobernanza/reglamentarios. Tras la revisión humana, los acuerdos finalizados podrían codificarse como contratos inteligentes en blockchain, lo que garantizaría la transparencia y la seguridad, así como la supervisión automatizada del cumplimiento y la ejecución de los pagos por hitos.

La buena noticia es que las funciones de TPRM tienen el deseo de invertir en IA y analítica de datos. El principal impulsor de la inversión futura en programas de TPRM es la "capacidad de IA/ML para mejorar la diligencia debida y la ejecución/supervisión de contratos" (31 % de los encuestados), mientras que el "enfoque basado en datos para supervisar a terceros" ocupa el segundo lugar (28 %) y la "automatización de la diligencia debida con fines de eficiencia y mayor gestión de riesgos" el tercero (27 %).

La IA y la centralización pueden catalizarse mutuamente

Varios factores dificultan una adopción más amplia de la IA y la centralización en el TPRM.

Las estructuras organizativas fragmentadas y los incentivos desalineados conducen a un enfoque desarticulado e impiden alcanzar todo el potencial de valor de la centralización. El TPRM no suele estar dirigido por un directivo del C-level, sino que se sitúa unos niveles por debajo de la C-suite. A menudo está disperso entre los líderes de las unidades de negocio, que sólo tienen competencias, incentivos y presupuesto para abordarlo dentro de su vertical, en lugar de alinearse con otras unidades de negocio y abordarlo de forma holística en toda la empresa.

Aunque los factores responsables de la baja adopción de la IA varían de una empresa a otra, los desafíos comunes incluyen consideraciones de costos, falta de experiencia y preparación de los datos. Además, la amplitud y complejidad del proceso TPRM dificulta la integración de las soluciones de IA en los procesos y flujos de trabajo TPRM existentes.

La relación simbiótica entre la centralización y la IA puede ayudar a superar algunas de estas barreras y acelerar la adopción. Por ejemplo, un pilar clave del TPRM centralizado es armonizar y centralizar los datos en todos los verticales de la organización, pero esto también es un requisito previo clave para la IA, por lo que podría ayudar a superar la barrera de la preparación de los datos y acelerar la adopción de la IA. Del mismo modo, la IA puede catalizar la centralización, al proporcionar a los responsables del TPRM la capacidad de supervisar los datos en tiempo real en toda la empresa y en el ecosistema de terceros. 

View of the sunset over the mediterranean sea and the southern coast of Menorca/Minorca in the Balearic Islands (Spain), from the rocky shores, with a sailboat in the foreground.
3

Capítulo 3

Tres acciones para los líderes de riesgo

Los líderes pueden tomar medidas específicas ahora para acelerar la transformación y preparar a sus organizaciones para los cambios que se avecinan.

Los líderes empresariales y de riesgo pueden estas tres acciones para acelerar la transformación del TPRM y alcanzar todo el potencial de valor de la centralización y la adopción de la IA:

1. Centrarse en la empresa

El TPRM se lleva a cabo en diferentes verticales de la empresa, que están estructurados e incentivados para centrarse en diferentes métricas. Adquisiciones puede realizar un seguimiento del cumplimiento de los contratos y del rendimiento de los proveedores. La ciberseguridad puede centrarse en el tiempo de respuesta a los incidentes y en el costo de las brechas. La cadena de suministros puede preocuparse por el cumplimiento de los proveedores y las métricas de resiliencia.

Sin embargo, para aprovechar todo el potencial de la IA y la centralización es necesario comprender sus obligaciones a nivel empresarial —como las normativas, los imperativos de la junta directiva o los imperativos de los inversores—, así como la forma en que éstas se traducen en riesgos para terceros y se conectan con las métricas de las unidades de negocio individuales. Si sólo tiene en cuenta riesgos específicos, en lugar de cómo su ecosistema de terceros podría afectar al negocio en general, está limitando su visión y puede predisponerse a una toma de decisiones subóptima.

Ya hemos escrito anteriormente sobre el concepto de "administrador de riesgos", alguien encargado de priorizar los requisitos de gestión de riesgos en todos sus silos organizativos y de impulsar un enfoque de gestión de riesgos conectado y proactivo. El TPRM es una verdadera horizontal que atraviesa toda la empresa, en la que cada función interna tiene un impacto espejo en terceros. Se beneficiaría enormemente de un enfoque de gestión de riesgos.

2. Invertir en la preparación para la IA

Las respuestas a la encuesta muestran que la adopción de la IA en el TPRM es baja, pero que las organizaciones tienen la ambición de aumentar su adopción en los próximos años. Para salvar esa brecha y alcanzar esa ambición es necesario invertir en la preparación para la IA.

Esto incluye una evaluación exhaustiva de los actuales procesos, herramientas y prácticas de gestión de datos de TPRM para identificar brechas y áreas de mejora como preparación para la integración de la IA. Incluye la inversión en la preparación de los datos para mejorar su calidad, la normalización de los formatos de datos y la aplicación de la gobernanza de datos. Incluye la preparación de la fuerza laboral, cerrando las brechas de cualificación e invirtiendo en formación y mejora de las cualificaciones.

Fundamentalmente, incluye el seguimiento de las tendencias, tanto para seguir el ritmo de las mejores prácticas emergentes en TPRM, como para prepararse para las próximas oleadas de IA.

3. Cuestionar los supuestos y acelerar los puntos de inflexión

"Hace una década, la mayoría de las empresas tenían políticas que prohibían que sus datos tocaran nunca la nube pública, por el factor miedo a la tecnología", afirma Kawther Haciane, EY MENA Digital Risk Leader. "Hoy, el guión ha cambiado. Las empresas de todo el mundo son "cloud first", todo ha migrado a la nube, y las excepciones tienen que justificar por qué no deberían estar en la nube. ¿Qué pasó? Alcanzamos un punto de inflexión, los supuestos y la economía dieron un vuelco y se desencadenó la adopción masiva".

De hecho, la tecnología está repleta de ejemplos de tales puntos de inflexión, mientras que el nuevo entorno de riesgo está acelerando el ritmo del cambio no lineal, haciendo que los puntos de inflexión sean cada vez más probables. Considera cómo el lanzamiento de ChatGPT puso patas arriba las suposiciones sobre las capacidades de la GenAI y los plazos en los que podrían alcanzarse. O considera algo más cercano para las funciones de TPRM: cómo la pandemia de COVID transformó algunos componentes de TPRM casi de la noche a la mañana, ya que el cambio al trabajo a distancia eliminó la capacidad de realizar auditorías in situ, obligando a las organizaciones a adoptar la tecnología a escala.

Puede que ahora nos estemos acercando a un punto de inflexión similar para la adopción de la IA en el TPRM. A medida que el número y la complejidad de las relaciones con terceros han aumentado en los últimos años, también lo han hecho la fricción, el dolor y el costo de realizar manualmente las evaluaciones de riesgos de terceros. Pero esto también está cambiando la economía de la adopción de la IA. Una vez que se realizan evaluaciones a mayor escala —de miles en lugar de cientos— se tiene un mayor incentivo financiero para invertir en IA, así como la ampliación de la escala con la que recuperar esas inversiones.

Un punto de inflexión aún mayor puede ser inminente en el avance de la tecnología. La nueva generación de modelos de IA —incluidas la IA agencial, la IA multimodal, la IA de razonamiento y la IA de automejora— están aportando capacidades revolucionarias, y combinarlas podría suponer un cambio de juego para el TPRM. Esto podría desafiar los cálculos de costo-beneficio y hacer irresistible la propuesta de valor de la IA.

Los puntos de inflexión analizados anteriormente tienen algo en común: tomaron a la mayoría de las empresas por sorpresa, obligándolas a apresurarse y a elaborar una respuesta a menudo apresurada. Pero hay otro camino. Anticipándose a un punto de inflexión, puedes preparar a tu organización para ello. Aún mejor, puedes acelerar el cambio dando los pasos identificados anteriormente, para invertir en el futuro, arreglar los incentivos desalineados y realinear las estructuras organizativas.

TPRM existe para garantizar que el resto de la organización no se vea sorprendida por disrupciones externas. Ahora, más que nunca, puede que necesite aplicarse ese enfoque a sí misma.

Resumen

La 2025 EY Third-Party Risk Management Survey explora cómo los líderes de riesgo están utilizando la IA y la centralización para transformar sus funciones de TPRM para un panorama de riesgos en rápida evolución. También están haciendo que sus funciones de TPRM sean más eficientes y eficaces para satisfacer las crecientes expectativas empresariales. 

Artículos relacionados

Los cinco hábitos de los geoestrategas exitosos

Todas las empresas están cambiando sus estrategias para adaptarse al riesgo geopolítico. Te mostramos cómo invertir de forma más eficiente y estratégica que tus competidores. Leer más.

11 abr. 2025 Courtney Rickert McCaffrey + 1

Cinco formas en que los CRO bancarios están aumentando la agilidad

La encuesta EY/IIF sobre gestión de riesgos bancarios destaca la necesidad de una mayor agilidad frente a la diversificación de riesgos. Obtén más información.

18 feb. 2025 Nigel Moden + 2

Los 10 principales riesgos para las telecomunicaciones en 2025

Mientras los operadores de comunicaciones siguen gestionando un abanico cada vez más amplio de amenazas, he aquí el análisis de EY de los 10 mayores riesgos a los que se enfrentan en 2025. Más información.

22 ene. 2025 EY Global + 1

Los 10 principales desarrollos geopolíticos para 2025

El riesgo geopolítico seguirá siendo elevado debido a la soberanía económica y a las rivalidades mundiales. Conoce cómo gestionar la incertidumbre para hacer crecer tu negocio.

12 dic. 2024 Courtney Rickert McCaffrey + 1

    Acerca de este artículo

    Autores

    • EY Global
      Multidisciplinary professional services organization
    • EY Global
      Multidisciplinary professional services organization
    Temas relacionados
    Consultoría
    Riesgo
    Ciberseguridad

    EY se refiere a la organización global, y puede referirse a una o más, de las firmas miembro de Ernst & Young Global Limited, cada una de las cuales es una entidad legal independiente. Ernst & Young Global Limited, una compañía británica limitada por garantía, no brinda servicios a los clientes.
    You are visiting EY latam (es)
    latam es