¿Qué debe incluir un buen análisis de riesgo de proveedores de semiconductores? (Parte 1)

¿Qué deben buscar las empresas al implementar evaluaciones de riesgo para sus proveedores de semiconductores?

¿Qué debe incluir un buen análisis de riesgo de proveedores de semiconductores? (Parte 1)

Este artículo es la primera parte de una serie de dos entregas con las perspectivas del CEO de Z2Data, Mohammad Ahmad, acerca de cómo una nueva generación de disrupciones está cambiando la manera en que las empresas abordan e implementan un análisis de riesgo de proveedores y lo que los fabricantes deben hacer para realizar con éxito evaluaciones de riesgo de sus proveedores de semiconductores. Lea la Parte 2, Desarrollar e implementar un modelo de riesgo para la cadena de suministro de semiconductores, aquí.  

La escasez de semiconductores que comenzó en 2020 y se prolongó hasta 2023 representó una calamidad para la cadena de suministro bajo casi cualquier criterio. Esta disrupción histórica paralizó la producción y alteró profundamente la dinámica entre la oferta y la demanda en una gran variedad de industrias de gran escala, costando a la economía estadounidense más de $200 mil millones solo en 2021 y provocando la pérdida de miles de empleos, además de incrementos de precios en productos esenciales que en gran medida resultaron irreversibles. 

Para muchas organizaciones, esa experiencia —junto con otros retos en abastecimiento y compras durante los últimos cuatro años— reflejó la creciente importancia y presencia del riesgo de proveedor. Empresas que antes podían conformarse con afrontar disrupciones de manera informal y reactiva reconocieron de repente la urgencia —y hasta la necesidad estratégica— de adoptar un enfoque más proactivo y anticipado para evaluar las amenazas que presenta su cadena de suministro y las empresas que la sustentan. En otras palabras, hubo una realización colectiva de que las empresas pueden identificar, evaluar y mitigar riesgos antes de que impacten en sus operaciones, ya sea con el cierre de una fábrica, un conflicto regulatorio o una crisis de obsolescencia. 

¿Qué es un análisis de riesgo de proveedor? 

Afortunadamente, los fabricantes, importadores y otros actores que buscan analizar los riesgos asociados a sus proveedores cuentan con una base consolidada de experiencia. Los análisis de riesgo de proveedores existen —de una u otra forma— desde hace décadas. Un análisis de riesgo —también denominado evaluación de riesgo— es un marco o conjunto de criterios para identificar y evaluar los riesgos que presenta un proveedor específico. Estas evaluaciones estructuradas son un aspecto fundamental de la gestión de riesgos en la cadena de suministro, que el National Institute of Standards and Technology (NIST) define acertadamente como un “proceso sistemático para gestionar el riesgo en la cadena de suministro mediante la identificación de susceptibilidades, vulnerabilidades y amenazas a lo largo de la cadena de suministro y el desarrollo de estrategias de mitigación para hacer frente a dichas amenazas”.

Un análisis de riesgo —también denominado evaluación de riesgo— es un marco o conjunto de criterios para identificar y evaluar los riesgos que representa un proveedor específico.

Las evaluaciones de riesgo de proveedores son una pieza clave para una buena gestión del riesgo en la cadena de suministro. Mediante el desarrollo e implementación de estas revisiones específicas, las organizaciones pueden someter a sus potenciales proveedores a un proceso de evaluación estandarizado y adquirir un entendimiento integral y preciso de cómo vulnerabilidades históricas específicas podrían repetirse con consecuencias significativas. Es, además, una de las estrategias más eficaces para mantener una postura más dinámica y ágil respecto a la cadena de suministro. 

“Es algo muy importante porque, al final, ello le permite anticipar posibles problemas que impactarían en su cadena de suministro y, por ende, en la entrega o fabricación de su producto final”, explica Mohammad Ahmad, CEO de la plataforma de gestión de riesgos de cadena de suministro Z2Data. Sin embargo, estas evaluaciones son mucho más que simples perfiles de riesgo, aclara Ahmad. Son también expedientes exhaustivos sobre los proveedores que pueden informar decisiones críticas en una gama de escenarios. “Un gran reto hoy es: ¿qué tanto sabe usted realmente sobre sus proveedores?”, señala. “Todos buscan dar visibilidad a sus proveedores”.

“Un gran reto hoy es: ¿qué tanto sabe usted realmente sobre sus proveedores?”, señala. “Todos buscan dar visibilidad a sus proveedores”.

El análisis de riesgo de proveedores dista de ser una práctica nueva. Sin embargo, cada vez se percibe menos como una medida opcional y más como un elemento integral dentro de la gestión efectiva del riesgo en la cadena de suministro. En una década tan compleja y volátil como la que estamos viviendo, las empresas que pueden identificar y analizar riesgos —y con ello lograr transparencia con sus proveedores— operan con una importante ventaja competitiva.

Criterios más importantes para un análisis de riesgo de proveedor

Históricamente, los fabricantes que realizaban un análisis de riesgo se centraban en algunos aspectos clave de sus proveedores, como la situación financiera, la calidad del producto y la reputación. Las empresas evaluaban el nivel de exposición de sus proveedores y luego generaban una puntuación compuesta que buscaba reflejar con precisión el perfil de riesgo general del proveedor. 

Actualmente, el panorama de riesgos para los fabricantes y sus cadenas de suministro es más denso y exigente. Las amenazas tradicionales señaladas anteriormente se ven agravadas por preocupaciones emergentes propias de los entornos ambientales y geopolíticos contemporáneos, en los que factores humanos y fuerzas naturales se combinan para incrementar la volatilidad.  Como resultado, las empresas ahora deben ampliar su lista de criterios de riesgo, contemplando factores como el historial de cumplimiento normativo y las ubicaciones geográficas. Esta última categoría cobra especial relevancia, pues indica la susceptibilidad del proveedor ante amenazas como desastres naturales, conflictos geopolíticos y disputas comerciales. 

Actualmente, el panorama de riesgos para los fabricantes y sus cadenas de suministro es más denso y exigente.

Las empresas siempre han debido afrontar el riesgo de que sus proveedores se vean afectados por fenómenos meteorológicos extremos como tifones, tornados e inundaciones. Sin embargo, la creciente influencia del cambio climático ha incrementado la frecuencia de estos desastres. Según la Oficina de las Naciones Unidas para la Reducción del Riesgo de Desastres (UNDRR), el número de “desastres a gran escala” a los que se enfrenta el planeta cada año se ha más que triplicado desde el año 2000, y ahora oscila entre 350 y 500 anualmente. Diversas proyecciones climáticas prevén que estas cifras aumentarán drásticamente en los próximos años. 

En el último quinquenio, los principales gobiernos y organizaciones internacionales han empezado a adoptar medidas más sólidas para responsabilizar a las empresas por su papel en el aumento de las temperaturas y el cambio climático. Los movimientos en torno a la sostenibilidad y ESG (environmental, social, and governance, es decir, factores ambientales, sociales y de gobernanza) se están convirtiendo gradualmente en regulaciones legales y obligatorias a nivel mundial. Este conjunto creciente de nuevas regulaciones constituye otra categoría de riesgo para fabricantes y actores de la cadena de suministro, que ahora deben cumplir una serie de exigencias en materia de sostenibilidad. A medida que directivas como CSRD, CS3D y los nuevos requisitos de divulgación climática de la SEC entran en vigor en distintas regiones, los proveedores se ven obligados a desenvolverse en una nueva zona de vulnerabilidad.

A medida que directivas como CSRD, CS3D y los nuevos requisitos de divulgación climática de la SEC entran en vigor en distintas regiones, los proveedores se ven obligados a desenvolverse en una nueva zona de vulnerabilidad.

A ello se suma el surgimiento acelerado de riesgos de ciberseguridad. Esta amenaza emergente quedó patente en ciberataques recientes de alcance y escala sin precedentes. El ataque a SolarWinds perpetrado por un grupo de agentes rusos en 2020, junto con la brecha de datos en Microsoft Exchange en 2021 atribuida a un grupo vinculado al Ministerio de Seguridad del Estado de la República Popular China, evidenciaron el inquietante avance de la ciberguerra en la última década. A medida que estos grupos altamente sofisticados, respaldados por gobiernos, intensifican sus campañas de ciberespionaje, las multinacionales enfrentan un mayor riesgo de filtraciones de datos, ataques de malware y fallos de seguridad sistémicos. 

Los fabricantes estadounidenses y demás empresas que dependen hoy de múltiples proveedores y subniveles de la cadena de suministro enfrentan una verdad simple e innegable: la gestión de riesgos en la cadena de suministro ha evolucionado considerablemente. Aquellos que deseen implementar su propio análisis de riesgo de proveedores deben mirar más allá de las fuerzas disruptivas que han afectado las cadenas durante décadas. Es indispensable reconocer la variedad de nuevas amenazas que hoy son endémicas para muchas redes de fabricación. 

Los fabricantes estadounidenses y demás empresas que dependen hoy de múltiples proveedores y subniveles de la cadena de suministro enfrentan una verdad simple e innegable: la gestión de riesgos en la cadena de suministro ha evolucionado considerablemente.

En conjunto, existen al menos media docena de riesgos en la cadena de suministro que deben contemplarse en cualquier análisis de riesgos integral: 

  • Salud financiera y/o riesgo de bancarrota
  • Fenómenos meteorológicos extremos y eventos relacionados con el clima
  • Factores geopolíticos
  • ESG y sostenibilidad 
  • Ciberseguridad
  • Cumplimiento normativo comercial
  • Transparencia de datos 

Recopilación de datos para evaluaciones de riesgo 

Una vez que las empresas comprenden el valor de evaluar los riesgos asociados a sus proveedores y las categorías de riesgo que deben analizarse y evaluarse, están listas para llevar a cabo la evaluación. El primer paso —y probablemente el más importante— es recopilar datos sobre sus proveedores. Existen diversas estrategias para consolidar esta información, y las empresas no deben limitarse a un único enfoque. Por el contrario, deben aprovechar distintas metodologías de recopilación de datos, comenzando por el acceso a información pública. Esta inteligencia puede incluir datos financieros, ubicaciones geográficas de sedes y plantas de fabricación, y reportes ESG (los cuales serán cada vez más públicos en los próximos meses y años). 

Después de reunir todos los datos disponibles públicamente, las empresas deben identificar las brechas de información existentes y contactar a los proveedores para solicitar los datos que no hayan podido conseguir por su cuenta. Con frecuencia, las organizaciones recurren a cuestionarios destinados a fabricantes, con preguntas sobre controles de seguridad, medidas de mitigación de riesgos y gestión de la cadena de suministro. 

El cuestionario Shared Information Gathering (SIG) —desarrollado por la organización Shared Assessments— es, por ejemplo, una herramienta de gestión de riesgos de terceros. Incluye cientos de preguntas diseñadas para generar información práctica en 21 áreas clave, entre ellas:

  • Gestión de cumplimiento normativo
  • Environmental, Social, and Governance (ESG)
  • Gestión de riesgo empresarial
  • Gestión de incidentes de ciberseguridad 
  • Seguridad de redes
  • Resiliencia operativa 

Aunque los cuestionarios son indispensables para la recopilación de datos, no deben ser la única fuente de información sobre los proveedores. “No creo que deba ser su única fuente”, afirma Ahmad. “Debe contar con múltiples fuentes de información para tomar decisiones basadas en el riesgo y determinar si necesita profundizar más”.

Construir un proceso integral de evaluación de riesgo: Parte 2

Pero identificar áreas de riesgo y reunir todos los datos relevantes es solo el primer paso en el proceso integral de evaluación de riesgos. Una vez superada esta fase, ¿cómo pueden los fabricantes desarrollar un modelo de riesgo y poner en práctica una verdadera evaluación de riesgos? 

Abordamos estas cuestiones —y exponemos algunos de los riesgos más destacados y únicos de la cadena de suministro de semiconductores— en la segunda parte de nuestro artículo, Desarrollar e implementar un modelo de riesgo para la cadena de suministro de semiconductores.