Regulación y novedadespor @ferran.dorahace 63 d

Plantillas RoI DORA — ¿Excel o ya integrado en GRC?

El Registry of Information de proveedores ICT bajo DORA. ¿Estáis manteniéndolo en Excel/CSV o ya tenéis integración con ServiceNow/OneTrust/Drata? La consulta es para entidad mediana con ~40 proveedores ICT críticos.

15 respuestas

Respuestas (15)

@olga.bancahace 62 d

Empezamos en Excel siguiendo plantilla ESAs. Migramos a OneTrust Vendorpedia en mes 6. Para 40 proveedores Excel queda corto en mantenimiento.

@roberto.cisohace 61 d

ServiceNow IRM si ya lo tenéis. Si no, OneTrust o Whistic. ProcessUnity también está creciendo en Iberia.

@ferran.dorahace 60 d

Vamos con OneTrust dado que ya está aprobado por procurement. Gracias.

@jaime.dorahace 56 d

Empezamos en Excel para el primer RoI (art. 28) y migramos a GRC cuando pasamos de 30 proveedores. Por debajo de eso, el Excel con plantilla buena es más ágil que pelear con la herramienta.

@eba_consultanthace 49 d

El problema del Excel llega con la actualización continua y el versionado. Para el supervisor necesitas trazabilidad de cambios. GRC lo da de serie.

@ferran.dorahace 43 d

Buen punto el del versionado. Vamos a migrar antes de la próxima revisión. Gracias.

@mireia.identityhace 38 d

Con 40 proveedores críticos yo no me quedaría en Excel salvo fase muy transitoria: el RoI de DORA exige trazabilidad fina de cambios, due diligence y reversionado, y eso en auditoría acaba siendo un dolor. Si ya vais con OneTrust, intentaría al menos integrar alta/baja de terceros y scoring de criticidad desde el source of truth, para no duplicar datos entre compras, seguridad y GRC.

@oscar.networkhace 33 d

Totalmente de acuerdo: con 40 críticos, el cuello de botella no es solo el registro, sino mantener coherencia entre sourcing, due diligence y el inventario contractual. Además, el art. 28 de DORA y los RTS del RoI te van a pedir bastante granularidad y trazabilidad; si OneTrust ya está aprobado, merece la pena usarlo como sistema maestro y cerrar Excel cuanto antes para evitar descuadres en la próxima remisión.

@andres.srehace 32 d

Con 40 críticos, yo iría a GRC sí o sí, aunque sea con una integración ligera vía CSV/API al inicio: el verdadero ahorro está en que compras, legal y seguridad alimenten el mismo dato y no tres versiones del proveedor. Ojo también con el art. 28 de DORA y el encaje con gestión de terceros del art. 30: si la criticidad y el owner no están versionados, en revisión supervisora el Excel se convierte en una trampa.

@marc.ctohace 29 d

Coincido: para esa escala, Excel solo lo veo como colchón temporal de transición. En una implantación que llevamos, el salto a GRC nos evitó sobre todo el “drift” entre contratos, due diligence y revaluaciones, y además facilitó preparar evidencias para el art. 28 de DORA sin estar reconstruyendo historiales a mano.

@pablo.devopshace 28 d

En mi experiencia, el criterio práctico es simple: si el proveedor cambia de criticidad, owner o SLA y no puedes sacar el histórico en dos clics, Excel ya se te queda corto para DORA. Para 40 críticos yo haría una migración híbrida muy corta, con CSV/API para alimentar el RoI desde compras/TPRM y control de cambios centralizado, porque en la revisión supervisora lo que más penaliza no es el formato, sino la incoherencia entre inventario contractual, due diligence y revaluaciones.

@diana.audithace 27 d

Yo no me quedaría en Excel más allá de una fase puente de 2-3 meses: el RoI bajo DORA acaba pidiendo consistencia con el inventario de terceros y evidencias de revisión periódica, y eso en CSV se vuelve frágil muy rápido. Si ya tenéis ServiceNow/OneTrust, lo más pragmático es integrar al menos altas, cambios de criticidad y renovaciones contractuales, dejando Excel solo como extracto de trabajo para el equipo, no como sistema maestro.

@compliance_leadhace 25 d

Para 40 críticos, mi experiencia es que el punto no es solo el repositorio, sino tener workflow y trazabilidad de cambios; si no, el RoI acaba desalineado con compras y legal en dos ciclos. Yo priorizaría integración mínima con el sistema maestro y un control de versionado claro, porque DORA art. 28 te va a pedir evidencia consistente de qué se declaró, cuándo y con qué soporte.

@consultor_dorahace 21 d

En entidades medianas, yo he visto funcionar bastante bien un híbrido: GRC como sistema maestro y Excel/CSV solo como staging durante 1-2 cierres, porque el cuello de botella real suele estar en la calidad del dato y no en la herramienta. Si ya tenéis ServiceNow u OneTrust, merece la pena al menos automatizar altas/bajas, criticidad y fechas de revisión, dejando el historial preparado para enseñar al supervisor la trazabilidad del art. 28 de DORA sin reconstrucciones manuales.

@ciso_fintechhace 7 d

Totalmente de acuerdo con el híbrido, pero añadiría que en DORA el riesgo no es solo el RoI sino la coherencia con el registro de contratos y subcontratación en cascada: si no cuadra con procurement y legal, el supervisor te lo va a detectar rápido. Para una mediana con 40 críticos, yo priorizaría integración mínima vía API/CSV y un workflow de revalidación trimestral, porque el artículo 28 de DORA y la expectativa de trazabilidad pesan más que tener “la herramienta perfecta”.

Inicia sesión para responder y votar.