À medida que as organizações se tornam cada vez mais dependentes de terceiros no que diz respeito a fornecimentos, serviços e conhecimentos especializados, cada vez mais pessoas se perguntam o que é a gestão de riscos de terceiros – e como é que a fazemos corretamente?
A subcontratação a terceiros pode poupar tempo e dinheiro à tua organização.
Mas os terceiros vêm com o seu próprio conjunto de riscos que se tornam os teus riscos.
Um passo em falso de um terceiro pode ter consequências infelizes para as suas operações comerciais, clientes e outras partes interessadas.
Se formos mais longe, é provável que os teus fornecedores trabalhem com os seus próprios fornecedores, que têm os seus próprios fornecedores, e assim por diante, aumentando o risco para a tua organização a todos os níveis.
E um programa robusto de gestão de riscos de terceiros – ou TPRM – é um elemento essencial da estratégia global de gestão de riscos de uma organização.
Tipos de riscos de terceiros
Os riscos de terceiros dividem-se principalmente nas seguintes categorias:Risco estratégico. A tua organização pode estar em risco se as acções ou decisões de terceiros não apoiarem os objectivos da tua organização.
Os teus fornecedores vão ajudar-te a atingir os teus objectivos estratégicos – ou vão atrapalhar-te? Risco de conformidade. Podes estar em risco se os teus fornecedores não cumprirem as leis, regras ou regulamentos governamentais ou do sector que se aplicam aos produtos e/ou serviços que fornecem à tua organização. As questões ambientais, sociais e de governação (ESG) são um risco de conformidade emergente. As práticas empresariais relativas à sustentabilidade do mundo, aos direitos humanos e às práticas/ética empresarial têm sido objeto de um maior escrutínio por parte de clientes, reguladores, colaboradores e investidores.
Embora os requisitos de comunicação e conformidade ESG estejam atualmente fragmentados, as organizações com visão de futuro estão a tomar medidas para acompanhar e gerir as suas práticas ESG e progredir para se prepararem para desenvolvimentos futuros. Risco operacional. Podes estar em risco se um terceiro tiver uma avaria nos seus processos internos, pessoas ou sistemas.
Estas falhas podem impedir a tua capacidade de cumprir prazos, expectativas e outros parâmetros de desempenho.
Tal como qualquer organização, os terceiros também estão à mercê de riscos externos, como catástrofes naturais, actos de terrorismo e pandemias.
Embora estes riscos estejam fora do controlo de um terceiro, os planos de contingência para manter a continuidade do negócio têm de ser incluídos no seu programa TPRM. Risco financeiro. Os problemas financeiros de um terceiro – perder uma linha de crédito, assumir demasiadas dívidas, declarar falência, etc. – podem ser transferidos para a sua organização sob a forma de aumento de custos ou de encomendas não cumpridas, o que pode ter um impacto negativo nos seus resultados. Risco de cibersegurança. Podes correr o risco de uma violação de dados ou de um ciberataque se os teus fornecedores forem negligentes nas suas normas de cibersegurança.
Os terceiros que representam os riscos mais graves são aqueles que têm acesso aos seus sistemas internos, finanças ou dados confidenciais, como informações pessoais de clientes e funcionários. Quando um terceiro tem acesso a este tipo de informação, convém certificar-se de que estes fornecedores estão em conformidade contínua com os seus protocolos de segurança. Risco para a reputação. A sua reputação está em jogo se sofrer um ciberataque, uma perturbação na cadeia de fornecimento, um declínio na qualidade dos seus produtos/serviços ou qualquer outro incidente que afecte os clientes e as partes interessadas.
Mesmo que um terceiro seja responsável, é a tua reputação que será prejudicada. Risco geopolítico. 68% dos executivos afirmaram que os riscos geopolíticos têm um impacto muito elevado na sua empresa.
A guerra na Ucrânia, os confinamentos relacionados com pandemias na China e a lentidão na resposta a questões sociais são apenas alguns dos riscos geopolíticos que continuam a restringir o acesso a talentos, bens e serviços para empresas de todo o mundo.
Considera onde estão localizados os teus fornecedores e avalia de perto o potencial de conflitos, tarifas, sanções e muito mais para compreenderes os teus riscos e onde se justifica uma mitigação adicional.
Como te protegeres dos riscos de terceiros
A gestão do risco de terceiros requer uma supervisão constante para garantir que as estratégias e os planos de correção são adequados e estão alinhados com o seu programa global de gestão do risco.
Aqui estão seis passos para afinar o teu programa TPRM:
1. Procura as pessoas que pensam da mesma maneira.
Procura terceiros que tenham excelentes credenciais, histórias financeiras sólidas, controlos de segurança fortes e valores partilhados.
Dedica algum tempo a desenvolver relações e a criar confiança com os teus fornecedores terceiros.
Tem conversas honestas sobre os teus requisitos e expectativas e, em seguida, especifica-os nos teus contratos.
2. Sabe com quem estás a trabalhar.
Mantém uma base de dados completa de todos os terceiros, dos produtos/serviços que fornecem e das áreas de risco potencial.
3. Realiza avaliações regulares.
Utiliza questionários detalhados para avaliar os riscos dos seus fornecedores – e acompanha as suas respostas e eventuais acções de acompanhamento.
4. Classifica os teus fornecedores.
Calcula uma pontuação de risco e utiliza-a para classificar os terceiros em categorias de risco elevado, médio e baixo para dar prioridade às acções.
Os vendedores de alto risco – como fornecedores e distribuidores de produtos, serviços de TI em nuvem ou serviços de faturação eletrónica – devem ser reavaliados com mais frequência e de forma mais completa do que os vendedores de baixo risco, como consultores de marketing.
5. Avalia o acesso a dados sensíveis.
Certifica-te de que os teus fornecedores têm acesso à informação de que necessitam para desempenhar a sua função e nada mais.
6. Tem um ciclo de feedback.
As tuas relações com terceiros são dinâmicas e é importante reavaliar regularmente o seu estado financeiro, operacional, de segurança e de conformidade para descobrir quaisquer riscos novos ou em mudança, para que possas fazer os ajustes necessários.
Muitas empresas dependem de milhares ou dezenas de milhares de fornecedores – qualquer um deles pode causar danos.
É impossível proteger a tua organização de tantas ameaças de forma eficiente com folhas de cálculo.
É necessário um software sofisticado que possa acompanhar todos os aspectos das suas relações com terceiros, do princípio ao fim. O software de gestão de riscos de terceiros consolida informações importantes num único local de fácil acesso.
Automatiza processos, padroniza avaliações e simplifica a integração.
Também pode enviar alertas e notificações automáticas se um fornecedor deixar de estar em conformidade ou sofrer outra alteração de estado.
O que é a gestão de riscos de terceiros para a tua organização?
Definir o que significa TPRM e como geri-la protegerá o seu negócio – e ajudá-lo-á a construir relações de confiança e de longo prazo baseadas no respeito mútuo e num objetivo partilhado.
Para obter mais informações sobre TPRM, faça o download deste manual do OCEG, Preparing for a Change in TPRM Technology, e confira o software de Gerenciamento de Riscos de Terceiros da Riskonnect
