Antes de começar esse artigo é importante a definição de alguns conceitos para ficar claro que iremos tratar daqui para frente.
Em todo programa de gestão de riscos de fornecedores, temos que ter inventariado as empresas que temos relacionamento (primeira dimensão), e para aquelas que temos algum contrato assinado, é importante inventariar esse contrato (segunda dimensão), e por fim, inventariar os serviços, que é um detalhamento do contrato master (terceira dimensão).
Nesse cenário conectamos o fornecedor a um ou vários contratos, e cada contrato conectado a um ou a vários serviços. Essa perspectiva ajuda entender a visão completa dos riscos, pois da o entendimento claro da origem dos riscos por serviço (terceira dimensão), e não apenas na primeira dimensão (fornecedor).
Dito isso, o ponto principal desse artigo é tratar o processo de gestão de riscos, com foco nesta terceira dimensão – Serviço (ou engagement).
As organizações estão cada vez mais usando fornecedores para apoiar suas operações e entregar produtos e serviços aos seus clientes. Embora a terceirização possa trazer muitos benefícios, as organizações mantêm os riscos associados aos seus relacionamentos com cada fornecedor. Muitos desses riscos podem ser significativos, incluindo violações de conformidade regulatória, incidentes de segurança da informação, perdas financeiras por erros, fraude e interrupção de negócios e danos à reputação.
Em muitas organizações, há um entendimento incompleto de quais atividades de negócios são suportadas por contratos e serviços de fornecedor. Há ainda menos compreensão dos riscos associados a um serviço ou à exposição do fornecedor em todos os serviços que eles estão entregando à sua organização. Sem entender quais fornecedores e serviços são de alto risco, o risco não pode ser bem gerenciado. Para setores altamente regulamentados, como o financeiro, a má governança de fornecedor pode resultar em multas e sanções regulatórias.
Na plataforma OneTrust é possível catalogar os produtos e serviços fornecidos pelos fornecedores. É possível também associar o envolvimento do produto e serviço ao processo de negócios e às unidades de negócios que ele suporta, fornecendo uma compreensão holística de sua dependência em todo ecossistema.
Desta forma é possível estabelecer a responsabilidade pelos serviços, realizar avaliações de risco inerentes em várias categorias de risco, catalogar e avaliar a adequação de seguro para cada fornecedor, avaliar a viabilidade financeira e encaminhar todas as avaliações de risco inerentes ao serviço. Isso fornece a uma compreensão do risco inerente geral associado a cada fornecedor.
Características principais na Plataforma OneTrust
- Inventariar fornecedor, sua hierarquia de negócios e os contratos e serviços que eles entregam à sua organização
- Mapear produtos e serviços para os processos de negócios que eles suportam
- Realizar avaliações de risco inerentes em serviços e categorias de risco diferentes
- Capturar e analisar relacionamentos significativos de quarteirização
- Analisar os recursos financeiros de cada fornecedor para continuar em operação
- Acumular avaliações de risco de engajamento para obter um perfil geral de risco do fornecedor
- Contratos e acordos de serviços associados entre eles
- Executar avaliações de risco do contrato e serviço, utilizando questionários padronizados
- Capturar a prova de seguro do terceiro e avaliar a adequação do seguro em relação a todos os trabalhos que estão sendo entregues
- Integrar os resultados da análise de impacto do processo de negócios em sua avaliação do risco de resiliência inerente
- Estabelecer responsabilidade para cada envolvimento dos fornecedores
- Documentar e monitorar os planos de remediação para trazer o risco dentro de uma tolerância aceitável
- Rastrear exceções relacionadas a compromissos dos fornecedores
Por fim, entender em detalhes o serviço prestado pelo fornecedor é parte fundamental para ter a visão clara dos riscos, conhecendo onde e por que fornecedores estão sendo usados em toda a organização e quem é o responsável, identificação dos riscos inerentes de produtos e serviços, alocar recursos escassos com base nas prioridades mais significativas, ter maior transparência nos relacionamentos com os parceiros de negócios usando notificações e relatórios robustos e fornecer garantia positiva à alta administração, ao conselho e aos reguladores sobre a adequação do programa de governança de gestão de riscos da organização.