O risco da quarta parte esconde-se como uma ameaça silenciosa na intrincada teia da gestão da cadeia de abastecimento. Oculto para além do alcance imediato dos fornecedores directos, estende-se profundamente nas camadas do ecossistema da cadeia de abastecimento, chegando até à aquisição de matérias-primas. Se achas que os teus contratos com fornecedores terceiros te mantêm seguro, pensa melhor.
As empresas são agora responsáveis não só pelas entidades com quem contratam diretamente, mas também por vários níveis da cadeia de abastecimento. As partes em todo o ecossistema da cadeia de abastecimento devem cumprir as normas estabelecidas por novos regulamentos e compromissos ambientais. A abordagem convencional das avaliações de risco de fornecedores terceiros – que se baseia quase exclusivamente em questionários – já não é suficiente para lidar com as complexidades dos riscos de terceiros que podem permanecer ocultos e representar ameaças às operações e ao resultado final.
Um número crescente de regulamentações estatais e internacionais está a aumentar a urgência de abordar o risco de quarta parte. Leis como a Lei de Prevenção do Trabalho Forçado Uyghur (UFLPA) e a Lei da Cadeia de Abastecimento Alemã introduzem requisitos rigorosos. A não conformidade pode afetar os teus resultados, a tua reputação e as tuas capacidades de produção.
Conformidade ambiental, social e de governação
A conformidade com as normas ESG já não é uma questão de ser chutada para o fim do caminho – em muitos casos, já é um requisito legal. Para lidar com o risco de quarta parte, começa por reconhecer e mitigar as questões sociais e ambientais prementes que podem afetar as tuas cadeias de fornecimento. Ignorar ou procrastinar estas questões não só põe em risco os objectivos de sustentabilidade, como também pode causar danos à reputação. Eis três questões ESG a ter em conta:
- Preocupações com o clima. Regulamentos como o Climate Corporate Data Accountability Act da Califórnia impõem consequências graves para o não cumprimento de iniciativas e acções de limitação de carbono. As coimas podem ser substanciais para violações do âmbito 1, 2 e até do âmbito 3.
- Recursos problemáticos. O trabalho infantil, a utilização de plástico e outras considerações éticas estão a tornar-se cada vez mais requisitos legais. A erradicação do trabalho infantil das cadeias de abastecimento, em particular, é uma obrigação legal em muitas regiões. A Patrulha das Alfândegas e das Fronteiras (CBP) está agora a aplicar ativamente regulamentos como o UFLPA, apreendendo ou confiscando as importações que violam este regulamento. Os importadores que se deparam com acções do CBP têm de navegar por um processo complexo, que aumenta o tempo e os custos, para resolver os problemas e obter expedições.
- Minerais de conflito. Leis como a Lei Dodd-Frank dos EUA exigem que as empresas divulguem a utilização de minerais provenientes de regiões em conflito. O incumprimento – incluindo declarações falsas ou enganosas à SEC – pode resultar em consequências graves para a organização infrator.
Desafios da cibersegurança
A frequência e a dimensão das violações de dados e dos ciberataques continuam a aumentar rapidamente. Um evento de cibersegurança num fornecedor terceiro ou quarto pode ser tão prejudicial como um ataque direto à sua organização, especialmente se este lidar com informações sensíveis. Não só tens o custo de reparar a própria violação de dados, como também podes ser afetado por regulamentos como os requisitos de divulgação obrigatória da SEC.
A proteção de dados sensíveis no âmbito de terceiros requer medidas proactivas. Responsabiliza os teus fornecedores – directos e indirectos – pelas tuas normas de cibersegurança e estabelece um processo de análise de incidentes de cibersegurança em terceiros, quartos e outros para determinar a materialidade do incidente e o potencial impacto.
A tecnologia é essencial para gerir o risco da quarta parte
O grande volume de dados necessários para gerir o risco de terceiros exige ferramentas e sistemas sofisticados para garantir uma cobertura abrangente, especialmente no que diz respeito à recolha, normalização e comunicação de dados. As soluções de software específicas ESG permitem que as empresas produzam provas da sua adesão de forma rápida e fácil. Este software foi concebido especificamente para simplificar a recolha de dados de todo o seu ecossistema de fornecedores e agregar informações que muitas vezes ficam presas em silos.
As organizações também precisam de capacidades avançadas de cibersegurança específicas para o risco de terceiros, incluindo sistemas automatizados de deteção de ameaças, monitorização em tempo real e comunicação assistida por tecnologia com os fornecedores. Este tipo de cibersegurança do fornecedor ajuda a garantir a integridade dos dados, a atenuar os riscos e a proteger-se contra as graves consequências das violações de segurança.
Os perigos dos riscos de terceiros são reais e a falta de atenção pode custar caro, em termos de multas, sanções, bens apreendidos e acções judiciais, bem como danos à reputação. A gestão proactiva destes riscos é agora um imperativo empresarial – e uma necessidade estratégica para manter a conformidade e a sustentabilidade a longo prazo.
Para saber mais sobre como gerenciar riscos de quarta parte em cadeias de suprimentos, baixe nosso ebook, Taking a Stand on ESG, e confira a solução de software Ambiental, Social e de Governança da Riskonnect.