RAN 20-7: el nuevo estándar en la gestión y evaluación de proveedores

El foco del regulador en la gestión y evaluación de proveedores está elevando el estándar de control que deben demostrar las entidades supervisadas, especialmente en materia de tercerización y servicios críticos. En este escenario, la implementación de la RAN 20-7 se consolida como un punto de inflexión: ya no basta con contratar y monitorear “por buena práctica”, sino que se vuelve clave acreditar un análisis sistemático, con criterios trazables, evidencia actualizada y capacidad de respuesta frente a hallazgos.

Según especialistas del sector, el principal impacto de esta orientación regulatoria es el traslado del riesgo desde lo operativo hacia lo reputacional y de cumplimiento: un proveedor no evaluado adecuadamente puede transformarse en una brecha de continuidad, seguridad o desempeño, con efectos directos en la disponibilidad de servicios, el cumplimiento normativo y la experiencia de clientes. Por lo mismo, la tendencia apunta a que las organizaciones migren desde evaluaciones puntuales y manuales hacia modelos de evaluación continua, basados en criticidad, controles mínimos exigibles y seguimiento de compromisos.

En la práctica, el desafío no es solo “evaluar”, sino priorizar y comparar. La gestión moderna de terceros requiere distinguir entre proveedores críticos y no críticos, establecer umbrales de aceptación, monitorear indicadores y, sobre todo, contar con un mecanismo objetivo para tomar decisiones: aprobar, condicionar, exigir plan de acción o descontinuar. En este contexto, toma fuerza el enfoque de scoring de proveedores, donde cada tercero obtiene un puntaje basado en dimensiones como criticidad del servicio, madurez de controles, cumplimiento contractual, desempeño histórico, continuidad operacional y seguridad de la información, entre otras.

Con ese objetivo, el Módulo de Proveedores de AustranetGRC se posiciona como una alternativa para operacionalizar este nuevo estándar, integrando el análisis requerido por la RAN 20-7 en un flujo de trabajo auditable: desde el registro del proveedor y su clasificación por criticidad, hasta la evaluación por criterios, asignación de puntaje, gestión de evidencias y seguimiento de planes de mejora. El resultado es un score del proveedor que permite visualizar el riesgo en forma comparable, facilitar decisiones de negocio y demostrar al regulador que existe un control activo y verificable.

Además, el uso de una plataforma GRC reduce uno de los puntos más sensibles en auditorías: la dispersión de información. En vez de depender de planillas aisladas, correos o documentos sin control de versión, el análisis queda centralizado, con historial, responsables, fechas, alertas y trazabilidad de cambios. Esto no solo mejora el cumplimiento, sino que acelera la capacidad de reacción ante revisiones internas, auditorías externas o requerimientos del regulador.

En un entorno donde la supervisión pone cada vez más atención en la cadena de terceros, la evaluación y el scoring dejan de ser un “plus” y pasan a ser un habilitador de continuidad, control y evidencia. La adopción de herramientas como el Módulo de Proveedores de AustranetGRC permite convertir una exigencia normativa en una práctica de gestión concreta, medible y defendible: una respuesta alineada con el nuevo estándar de diligencia y control que impone la RAN 20-7.