Actualmente as organizações são redes interligadas de fornecedores terceiros que incluem não só os seus fornecedores directos, mas também os fornecedores dos seus fornecedores e mesmo os fornecedores dos seus fornecedores. Se não tiver cuidado, um problema com qualquer um destes fornecedores pode acabar por prejudicar a sua organização. Na realidade, um inquérito recente revelou que quase metade (44%) dos inquiridos sofreu uma quebra de dados significativa e alteradora de negócios causada por um terceiro.

Os clientes não se importam se um problema como uma violação de dados teve ou não origem consigo ou com um fornecedor. É tudo o mesmo aos seus olhos - e a culpa é sua. Para gerir eficazmente o risco de terceiros, deve compreender os seus riscos de forma holística e gerir a sua exposição em toda a empresa com uma estratégia robusta de gestão de risco de terceiros (TPRM).

Aqui estão cinco pilares de TPRM forte para o ajudar a proteger a sua organização.

  1. Identificar os seus vendedores.
    O primeiro passo em qualquer programa TPRM de sucesso é saber quem são os seus vendedores, que serviços prestam, e a que informação têm acesso. Faça a sua devida diligência antecipadamente e contrate com fornecedores terceiros que satisfaçam os seus padrões e requisitos - e que operem de uma forma consistente com a forma como faz negócios. Mantenha a sua lista de vendedores e empreiteiros actualizada. Não se pode proteger de terceiros que desconhece.
  2. Avaliar os riscos.
    Avaliação do estado - financeiro, operacional, de segurança, regulador, etc. - de cada fornecedor com quem se trabalha é absolutamente crítico para uma boa estratégia de TPRM. É preciso saber onde estão as suas fraquezas, para não ser apanhado desprevenido na estrada.
    Enviar questionários personalizados a cada fornecedor para recolher dados críticos, incluindo acordos, contactos, políticas, credenciais de acesso, e muito mais. O software pode então automaticamente pontuar e avaliar as respostas, acompanhar quaisquer questões pendentes, e verificar a resolução. Também pode complementar a informação fornecida pelos próprios vendedores com dados fornecidos por especialistas externos em riscos de pontuação, tais como financeiros e cibernéticos. A utilização de uma variedade de métodos de avaliação dar-lhe-á uma visão clara, 360 graus de exposição ao risco para cada relação de terceiros, para que não acabe por assinar um novo fornecedor, por exemplo, apenas para descobrir que não têm os recursos financeiros para entregar um componente crítico prometido.
  3. Dê prioridade às suas acções.
    Depois de avaliar e pontuar os riscos dos seus fornecedores terceiros, classifique cada um em categorias - por exemplo, alto, médio e baixo risco - para que possa dar prioridade aos seus esforços de acordo com os riscos que eles representam para o seu negócio.
    Terceiros que têm acesso a informação sensível, lidam com transacções financeiras, ou desempenham funções críticas para as suas operações, seriam tipicamente considerados de alto risco. Vendedores de médio risco poderiam incluir aqueles com acesso limitado aos seus sistemas, e os vendedores de baixo risco seriam aqueles que não interagem com sistemas ou dados críticos.
    Quanto maior for o nível de risco, mais frequentemente quererá reavaliar a capacidade dos seus terceiros para cumprir as suas obrigações contratuais. Certifique-se de que tem planos completos de continuidade de negócios de qualquer fornecedor classificado como de alto risco ou acima.
  4. Resolver questões pendentes - e insistir na documentação.
    Poderá ser responsabilizado se um vendedor violar quaisquer leis, regras ou regulamentos governamentais ou industriais. Certifique-se de que dispõe dos processos adequados para avaliar e monitorizar o cumprimento permanente dos regulamentos legais apropriados. E manter uma pista de auditoria detalhada de toda a documentação. Para facilitar a identificação de questões urgentes e priorizar estratégias de remediação, considerar a classificação de questões de terceiros em categorias, tais como críticas (máximo de 3 dias para resolver), elevadas (máximo de 30 dias para resolver), médias (máximo de 120 dias para resolver), e baixas (máximo de 160 dias para resolver).
    O software TPRM também pode enviar automaticamente alertas para documentos expirados. Assim, se alguma coisa ficar fora de conformidade, saberá imediatamente e poderá agir rapidamente.
  5. Monitor para alterações.
    A boa gestão de risco de terceiros não termina a bordo. Requer uma monitorização contínua ao longo da relação para acompanhar a evolução das condições com cada fornecedor, com as suas próprias prioridades, e com o mundo em geral. Reavalie regularmente terceiros para identificar quaisquer impedimentos à sua capacidade de cumprir as suas obrigações contratuais e para assegurar que a parceria ainda se alinha com as metas e objectivos comerciais da sua organização. Evidentemente, a monitorização só vai até agora. Ter um plano de remediação em vigor para qualquer risco crítico e vulnerabilidades que surjam.

Os problemas dos fornecedores acabam por se tornar os seus problemas - mas com uma estratégia, processos e software TPRM eficaz, terá uma base sólida para proteger a sua organização de erros de terceiros

Para uma análise prática da gestão eficaz do risco de terceiros, verifique como Stanley Steemer actualizou o seu programa TPRM para expandir as receitas.

Se estiver pronto para elaborar um RFP para uma solução de gestão de risco de terceiros, descarregue isto lista das questões mais críticas relacionadas com o TPRMque pode ser facilmente modificada para se adaptar às suas necessidades.