À medida que o uso de fornecedores terceirizados cresce, é cada vez mais imperativo ser diligente com as práticas de avaliação de risco de fornecedores. Os fornecedores e outros fornecedores terceiros são essenciais para manter a maioria das organizações a funcionar corretamente. Mas estas relações podem estar repletas de perigos que podem afetar negativamente as suas finanças, desempenho e reputação.

Considera estes riscos: uma perturbação na cadeia de fornecimento do seu fornecedor que atrasa as entregas, medidas de segurança fracas que resultam numa violação de dados ou o não cumprimento de regulamentos importantes que afectam as finanças. Sem culpa própria, a tua organização pode ser responsabilizada por erros cometidos por terceiros, o que pode levar a processos judiciais, multas e danos à tua reputação – tudo isto com um custo elevado para a tua organização.

Uma avaliação de riscos de fornecedores é parte integrante de um programa eficaz de Gerenciamento de Riscos de Terceiros (TPRM). A realização de avaliações de risco de fornecedores permite determinar os riscos e os níveis de risco que um terceiro representa para a sua organização. As avaliações reúnem informações e documentação críticas dos seus fornecedores. Essas informações podem revelar vulnerabilidades que podem expor a sua organização a danos. Depois, podes decidir se queres avançar com esse fornecedor, exigir alterações para cumprir os teus requisitos ou terminar a relação.

Como iniciar o processo

Começa com uma lista de todos os teus fornecedores, os produtos e/ou serviços que fornecem e os potenciais riscos que apresentam. Classifica cada fornecedor como de alto risco, risco moderado ou baixo risco.

Cria questionários personalizados para fornecedores. Um tamanho único não serve para todos. Adapta os teus questionários para recolher informações críticas de cada fornecedor, incluindo o estado financeiro, as práticas operacionais, os controlos de segurança e a conformidade regulamentar.

Para fornecedores de baixo risco, podes ter menos perguntas, mais padronizadas. Para fornecedores de alto risco (por exemplo, os que têm acesso às suas redes internas, sistemas e dados confidenciais), convém aprofundar as questões. Em todos os casos, mantém as perguntas diretas, concisas e pertinentes para evitar interpretações erradas. As perguntas podem ser estruturadas em formatos para respostas sim/não, escolha múltipla e respostas escritas.

Por exemplo, uma pergunta inicial pode ser: A tua organização tem uma política de segurança da informação e de procedimentos? No âmbito desta pergunta, podes fazer perguntas de seguimento sobre onde e como são armazenadas as informações sensíveis. Outro exemplo de pergunta de avaliação pode perguntar se a organização tem uma política de resposta a incidentes, seguida de perguntas sobre como os incidentes são tratados e o processo de mitigação.

Como parte da sua avaliação, peça aos fornecedores que apresentem políticas, certificados de seguro, contratos e acordos relevantes que tenham com os seus próprios fornecedores terceiros (que se tornam riscos de quarta parte para si). O

O processo de verificação também inclui a realização de verificações de antecedentes, o pedido de referências e a recolha de análises de clientes. Certifica-te de que solicitas planos completos de continuidade da atividade a qualquer terceiro classificado como de alto risco.

Frequência das avaliações de risco do fornecedor

Efectua uma avaliação inicial dos riscos antes de estabelecer uma relação com qualquer fornecedor externo. Em seguida, reavalia os fornecedores periodicamente para:

  • Revela alterações nas operações do fornecedor, liderança e áreas de risco novas/emergentes.
  • Identifica novos desenvolvimentos que possam afetar a capacidade do fornecedor para cumprir as suas obrigações contratuais.
  • Confirma que as práticas do fornecedor ainda estão alinhadas com os valores e objectivos da tua organização.

As reavaliações são normalmente realizadas anualmente, mas podem ser agendadas com maior frequência para fornecedores de alto risco. À medida que as suas relações com fornecedores terceiros amadurecem, pode sentir que pode relaxar a frequência das avaliações. Não cometas esse erro. Protege a tua organização mantendo-te vigilante na realização de avaliações contínuas.

Antes de iniciar uma reavaliação, revê o teu questionário e faz as revisões necessárias. Certifica-te de que todas as perguntas continuam a ser relevantes. É necessário acrescentar perguntas sobre a conformidade com novas leis/regulamentos que se aplicam à tua organização. E aborda quaisquer desenvolvimentos inesperados, como a pandemia da COVID, que exigiu que as organizações estabelecessem rapidamente todo um novo conjunto de protocolos e processos internos para proteger clientes, funcionários e outras partes interessadas.

Em cada reavaliação, avalia o nível de risco do terceiro e a vossa relação. Se houver mudanças significativas nas respostas do fornecedor, pergunta quando e por que as mudanças foram feitas. Estes passos determinarão se pretendes continuar a trabalhar com o fornecedor ou terminar a relação.

As vantagens da tecnologia para a avaliação do risco do fornecedor

Mesmo as organizações mais pequenas podem ter dezenas de fornecedores. As grandes organizações podem trabalhar com dezenas de milhares. Manter o controlo de tantos terceiros manualmente (pensa em folhas de cálculo) é complicado, demorado e propenso a erros – na melhor das hipóteses.

O software TPRM automatiza e padroniza o processo de avaliação de risco do fornecedor. Oferece modelos de questionários que podem ser facilmente personalizados. Os fornecedores podem enviar respostas via portal, e o software pode pontuar e classificar automaticamente as respostas. Também pode introduzir feeds de dados externos para ajudar a classificar os riscos. A análise incorporada, juntamente com ferramentas de relatório flexíveis, permite-te cortar e analisar os dados da forma que quiseres.

O software também pode enviar alertas automáticos para documentos e contratos de fornecedores que estejam a expirar, para que possa ter a certeza de que informações desactualizadas não o colocam em risco. Por último, o software permite-lhe criar, enviar por correio eletrónico e obter contratos assinados diretamente a partir da plataforma.

Todas as informações de risco do fornecedor – incluindo acordos, contratos, políticas e credenciais de acesso – são compiladas numa única plataforma com acesso partilhado entre departamentos. Pode atualizar os dados e documentos armazenados em tempo real, para que os relatórios sejam sempre completos e precisos. Pode sentir-se confiante quanto à qualidade e atualidade dos dados e documentos de terceiros alojados no seu sistema. E tem toda a informação na ponta dos dedos para análise e tomada de decisões.

A avaliação do risco do fornecedor dá à tua organização a capacidade de examinar minuciosamente as práticas, reputações e níveis de risco de terceiros, mesmo antes de os contratos serem assinados. O processo vale bem o tempo e o esforço para que possas planear, preparar e responsabilizar os fornecedores ao longo de toda a relação.

Se estiveres à procura de software de Gestão de Riscos de Terceiros, transfere este modelo de RFP com as questões mais críticas relacionadas com o TPRM e verifica o software de Gestão de Riscos de Terceiros da Riskonnect.