Preparando seu programa de gerenciamento de riscos de fornecedores

Com tantos relacionamentos para mapear, a complexidade da gestão de riscos de fornecedores pode ser difícil de entender e gerenciar. A maioria das organizações simplesmente não tem equipe e recursos disponíveis para lidar com essa complexidade crescente.

As organizações muitas vezes ficam se perguntando por onde começar e como priorizar o que é mais importante para o negócio. Infelizmente, isso pode resultar em surpresas que causam interrupções nos negócios, violações de conformidade, violações de segurança da informação (cyber), perdas financeiras e danos estratégicos.

Muitas vezes, o gerenciamento dos fornecedores, deve organizar os seus respectivos contratos e serviços, informações de risco e de desempenho, porém normalmente essas informações estão espalhadas por diferentes equipes dentro da organização.

Os riscos de fornecedores não são identificados, avaliados, tratados e monitorados de forma consistente em todas as suas linhas de negócios, e nem em suas etapas, onboarding, ongoing e offboarding. Tudo acontece na forma de silos dentro da organização.

Cada equipe fala sobre risco usando uma linguagem diferente com diferentes medições, controles e relatórios. Como resultado, fica difícil encontrar uma única fonte confiável sobre relacionamento, dependências, riscos e desempenho. Sem uma visão corporativa consistente do risco de fornecedores, a alta administração não tem uma visão clara para tomar decisões de negócios.

Entendemos que as organizações precisam adotar a gestão de riscos de fornecedores para permanecerem competitivas, mas não estão posicionadas para gerenciar de maneira otimizada o risco e o desempenho dos seus fornecedores.

Para remediar esses desafios, sua organização deve ser mais proativa na identificação e gerenciamento de riscos e desempenho de fornecedores. Isso permitirá que você concentre seus recursos limitados nos riscos mais impactantes para o seu negócio, evitando perdas significativas e eventos negativos, evitando surpresas e explorando oportunidades.

Para explorar oportunidades e permanecer competitiva, as organizações devem adotar uma nova abordagem para gerenciar o risco e o desempenho dos fornecedores.

Ao padronizar seu processo de gerenciamento de risco e desempenho de fornecedores em toda a empresa, você pode estabelecer uma linguagem, medições, controles e processos comuns para priorizar e gerenciar os riscos rapidamente.

Com a plataforma OneTrust à sua organização terá uma visão precisa do risco e do desempenho dos fornecedores, para que você possa alocar recursos de forma rápida e eficiente e tomar melhores decisões de negócios.

Um processo eficaz de gerenciamento de riscos de fornecedores segue um ciclo de vida contínuo para todos os relacionamentos e incorpora as seguintes fases:

Planejamento: Desenvolver um plano para gerenciar o relacionamento geralmente é o primeiro passo no processo de gerenciamento de riscos de terceiros. Essa etapa é útil para muitas situações.

Due diligence e seleção de terceiros: Realizar uma revisão de um possível fornecedor antes de assinar um contrato na fase do onboarding, ajuda a garantir a seleção do fornecedor apropriado e entender os riscos representados pelo relacionamento, de acordo com o apetite de risco da organização.

Negociação do contrato: Desenvolver um contrato que defina claramente as expectativas e responsabilidades do fornecedor ajuda a garantir a exigibilidade do contrato, limitar a responsabilidade da organização e mitigar disputas sobre o desempenho, pois a regra passa ser clara.

Monitoramento contínuo (ongoing): É essencial para a capacidade da organização gerenciar o risco do fornecedor realizando o monitoramento contínuo do relacionamento uma vez que o contrato esteja em vigor, podendo ocorrer mensalmente, trimestralmente, semestralmente ou anualmente, conforme estabelecido na metodologia de gestão de riscos.

Término do contrato: Desenvolver um plano de contingência para garantir que a organização possa fazer a transição das atividades para outro fornecedor, trazer as atividades internamente ou descontinuar as atividades quando um contrato expirar, validando assim se os termos do contrato foram cumpridos.

Além disso, deve fazer parte do processo de gestão de riscos de fornecedores, durante todo o ciclo de vida do relacionamento as seguintes atividades:

Supervisão e responsabilidade: Atribuir funções e responsabilidades claras para gerenciar relacionamentos com fornecedores e integrar esse processo de gerenciamento de riscos com sua estrutura de gerenciamento de riscos corporativos, permitindo supervisão e responsabilidade contínuas.

Documentação e relatórios: Adequar a documentação e os relatórios facilita a supervisão, a responsabilidade, o monitoramento e o gerenciamento de riscos associados aos relacionamentos com fornecedores.

Vale destacar alguns objetivos que devem ser alcançados em cada uma das fases, evitando desta forma erros e retrabalho.

Fase – Planejamento

• Identificar os riscos inerentes
• Discutir o propósito estratégico da contratação
• Identificar os critérios de seleção em alinhamento com a visão de risco
• Identificar a supervisão necessária do fornecedor

Fase – Due Dilligence e Seleção do Fornecedor

• Avaliar o risco
• Viabilidade financeira
• Cobertura do seguro
• Quarteirização
• Risco de Conformidade/Litígio
• Risco financeiro para a organização
• Risco de segurança da informação
• Risco de privacidade
• Risco de reputação
• Risco de resiliência
• Risco estratégico
• Risco de sustentabilidade
• Capturar a documentação de due diligence

Fase – Contrato

• Avaliar o risco do contrato
• Inventariar o contrato executado para acompanhamento
• Referências para avaliação de desempenho
• Obter e avaliar a adequação dos certificados de seguro

• Agendar e conduzir avaliações recorrentes de risco e viabilidade financeira
• Monitorar, avaliar, relatar o desempenho e o perfil de risco
• Receber notificações sobre a expiração da documentação

Fase – Término do Contrato

• Estratégia de encerramento de documentos
• Gerenciar atividades de transição
• Identificar os riscos de rescisão

Erros comuns encontrado com frequência em algumas organizações

1. As informações de gerenciamento do relacionamento com os fornecedores encontram-se em silos em toda a organização.
2. Um programa abrangente de avaliação e monitoramento de risco do fornecedor não é estabelecido, resultando em não conformidade com políticas, padrões e agentes reguladores.
3. As organizações não têm um mecanismo consistente e automatizado de classificação por níveis usado na avaliação de fornecedores.
4. Falta de visibilidade do desempenho do fornecedor com relatórios e painéis configuráveis.

Alguns desafios que as organizações vêm enfrentando

1) Falta de recursos e processos ineficientes ao gerenciar o crescente número de fornecedores

• Durante a Pandemia houve uma rápida transformação digital e com o trabalho remoto, teve uma adoção de soluções em nuvem, aumentando a dependência dos fornecedores.
• Além disso, limitações nas ferramentas dificultou que fornecedores cumprissem rapidamente as avaliações de risco, normalmente processos com base em planilhas e processo manual.
• Mais dados sendo compartilhados. Visão limitada do tipo de dados que são compartilhados, quais implicações de risco estão envolvidas, quem tem acesso aos dados e quanto tempo os dados são compartilhados.

2) Interrupções constantes em diversos fornecedores:

• Atualmente regulamentos e requisitos de continuidade tem evoluído em torno de terceiros, porém leva tempo para se adaptarem e cumpri-los.
• Quantos casos ouvimos recentemente de fornecedores que pararam seu sistema por algum incidente, impactando toda a cadeia de negócio.

3) Falta de visibilidade entre domínios de risco:

• O tema de gestão de fornecedores deve permear toda organização, e não apenas um ou duas áreas.
• É uma preocupação que as áreas de segurança, riscos operacionais, e mais recentemente privacidade precisaram tratar.
• O que se vê é uma baixa colaboração interna, onde as empresas estão pontuando riscos de fornecedores sob a ótica das áreas, sem levar em consideração todo os aspectos da organização.
• Trabalho em silos e causando retrabalho.

Como a QOD e OneTrust têm endereçado a solução para esses desafios…

As organizações estão focadas na automação desse processo:

• O aumento de terceiros e dados compartilhados tem colocado as organizações a adotarem mais automação nesses processos para gerar uma visão granular dos fornecedores aplicando processos de análise e mitigação dos riscos. A Plataforma da OneTrust atende a todo esse requisito.

Priorizando terceiros críticos para melhorar a continuidade de negócios

• Estamos vendo o movimento de clientes para aumentar sua agilidade em torno da resiliência e continuidade dos negócios. Trabalhando com terceiros mais próximos de resposta e planejamento para recuperação de modo que, no caso de um evento de alto impacto, há um processo estabelecido para melhorar os tempos de resposta e fortalecer a resiliência.

Fornecer tecnologia aos fornecedores para melhorar os tempos de comunicação e resposta

• Além disso, as empresas estão procurando implementar as capacidades de monitoramento em todo o ciclo de vida do fornecedor para chegar à frente desses cenários.

Colaboração e compartilhamento de informações entre as equipes

• Finalmente, vemos nossos clientes que estão com um nível de maturidade elevado, estão focados em melhorar a visibilidade dos riscos para construir confiança: essas organizações estão olhando para outras áreas de seus negócios, onde terceiros podem representar riscos de reputação e conformidade – como ética e ESG – e construir um programa alinhado com todas as áreas, eliminando silos e retrabalho.

Vocês enxergam um programa de gestão de terceiro implementado desta forma