Atualmente, as organizações são redes interligadas de fornecedores terceiros que incluem não só os teus fornecedores diretos, mas também os fornecedores dos teus fornecedores e até os fornecedores dos fornecedores deles. Se não tiveres cuidado, um problema com qualquer um destes fornecedores pode acabar por prejudicar a tua organização. De facto, um inquérito recente revelou que quase metade (44%) dos inquiridos sofreram uma violação de dados significativa e que alterou a sua atividade, causada por um terceiro. Os clientes não querem saber se um problema como uma violação de dados teve origem em ti ou num fornecedor. Aos seus olhos, é tudo a mesma coisa – e tu ficas com as culpas. Para gerir eficazmente o risco de terceiros, tens de compreender os teus riscos de forma holística e gerir a tua exposição em toda a empresa com uma estratégia robusta de gestão do risco de terceiros (TPRM).

Aqui estão cinco pilares de uma TPRM forte para te ajudar a proteger a tua organização.

  1. Identifica os teus fornecedores.
    O primeiro passo de qualquer programa de TPRM bem sucedido é saber quem são os seus fornecedores, que serviços prestam e a que informações têm acesso. Faz a devida diligência antecipadamente e contrata fornecedores externos que cumpram as tuas normas e requisitos – e que operem de forma consistente com a tua forma de fazer negócios. Mantém a tua lista de fornecedores e contratantes actualizada. Não te podes proteger de terceiros que não conheças.
  2. Avalia os riscos.
    Avaliar o estado – financeiro, operacional, de segurança, regulamentar, etc. – de cada fornecedor com quem trabalha é absolutamente essencial para uma boa estratégia de TPRM. Tens de saber onde estão as suas fraquezas, para não seres apanhado desprevenido no caminho.
    Envia questionários personalizados a cada fornecedor para recolher dados críticos, incluindo acordos, contactos, políticas, credenciais de acesso e muito mais. Em seguida, o software pode pontuar e classificar automaticamente as respostas, acompanhar quaisquer problemas pendentes e verificar a resolução. Também pode complementar a informação fornecida pelos próprios fornecedores com dados de especialistas externos na avaliação de riscos, tais como financeiros e cibernéticos. A utilização de uma variedade de métodos de avaliação dá-te uma visão clara e de 360 graus da exposição ao risco para cada relação com terceiros, para que não acabes por contratar um novo fornecedor, por exemplo, apenas para descobrires que não tem os recursos financeiros para entregar um componente crítico prometido.
  3. Dá prioridade às tuas acções.
    Depois de avaliar e classificar os riscos dos seus fornecedores terceiros, classifica cada um deles em categorias – por exemplo, risco elevado, médio e baixo – para que possas dar prioridade aos teus esforços de acordo com os riscos que representam para o teu negócio.
    Os terceiros que têm acesso a informações sensíveis, lidam com transacções financeiras ou desempenham funções críticas para as suas operações são normalmente considerados de alto risco. Os fornecedores de risco médio podem incluir aqueles com acesso limitado aos seus sistemas e os fornecedores de baixo risco são aqueles que não interagem com sistemas ou dados críticos.
    Quanto mais elevado for o nível de risco, mais frequentemente terá de reavaliar a capacidade dos seus terceiros para cumprirem as suas obrigações contratuais. Certifica-te de que tens planos completos de continuidade do negócio de qualquer fornecedor classificado como de alto risco ou superior.
  4. Resolve as questões pendentes – e insiste na documentação.
    Podes ser responsabilizado se um fornecedor violar quaisquer leis, regras ou regulamentos governamentais ou do sector. Certifica-te de que tens os processos adequados para avaliar e monitorizar a conformidade contínua com os regulamentos legais apropriados. E mantém uma pista de auditoria detalhada de toda a documentação. Para facilitar a identificação de problemas urgentes e dar prioridade às estratégias de correção, considera a possibilidade de classificar os problemas de terceiros em categorias, tais como crítico (máximo de 3 dias para resolver), elevado (máximo de 30 dias para resolver), médio (máximo de 120 dias para resolver) e baixo (máximo de 160 dias para resolver).
    O software TPRM também pode enviar automaticamente alertas para documentos que estejam a expirar. Desta forma, se algo não estiver em conformidade, saberás imediatamente e poderás agir rapidamente.
  5. Controla as alterações.
    Uma boa gestão do risco de terceiros não termina com a integração. Requer uma monitorização contínua ao longo de toda a relação para acompanhar a evolução das condições de cada fornecedor, das suas próprias prioridades e do mundo em geral. Reavalia regularmente os terceiros para identificar quaisquer impedimentos à sua capacidade de cumprir as suas obrigações contratuais e para garantir que a parceria ainda está alinhada com as metas e os objectivos comerciais da sua organização. É claro que a monitorização só vai até certo ponto. Tem um plano de correção em vigor para qualquer risco crítico e vulnerabilidades que surjam.

Os problemas dos fornecedores acabam por se tornar os teus problemas – mas com uma estratégia, processos e software de TPRM eficazes, terás uma base sólida para proteger a tua organização de passos em falso de terceiros

Para uma visão prática da gestão eficaz de riscos de terceiros, verifica como a Stanley Steemer actualizou o seu programa TPRM para aumentar as receitas.

Se estiveres pronto para redigir um RFP para uma solução de gestão de riscos de terceiros, transfere esta lista das perguntas mais críticas relacionadas com o TPRM, que pode ser facilmente modificada para se adequar às tuas necessidades.