Antes de começar este artigo, é importante estabelecer alguns conceitos para garantir clareza ao abordar o tema daqui para frente.
Em todo programa de gestão de riscos de fornecedores, é crucial ter inventariadas as empresas com as quais mantemos relacionamento (primeira dimensão). Além disso, para aquelas com as quais mantemos contratos assinados, é de suma importância inventariar esses contratos (segunda dimensão), e por fim, detalhar os serviços que compõem o contrato principal (terceira dimensão).
Nesse cenário, conectamos o fornecedor a um ou vários contratos, e cada contrato está associado a um ou a vários serviços. Essa abordagem permite uma compreensão clara da origem dos riscos por serviço (terceira dimensão), indo além da consideração apenas da primeira dimensão (fornecedor).
Com isso em mente, o ponto central deste artigo é abordar o processo de gestão de riscos, com foco nesta terceira dimensão – Serviço (ou engajamento).
As organizações estão cada vez mais recorrendo a fornecedores para apoiar suas operações e entregar produtos e serviços aos seus clientes. Embora a terceirização traga diversos benefícios, as organizações também herdam os riscos associados a seus relacionamentos com cada fornecedor.
Muitos desses riscos podem ser significativos, incluindo violações de conformidade regulatória, incidentes de segurança da informação, perdas financeiras, fraude, interrupção de negócios e danos à reputação.
Em várias organizações, há uma compreensão incompleta de quais atividades de negócios são suportadas por contratos e serviços de fornecedores. Ainda há menos compreensão dos riscos associados a um serviço ou à exposição do fornecedor em todos os serviços que eles estão entregando à organização. Sem compreender quais fornecedores e serviços representam alto risco, o risco não pode ser gerenciado de forma eficaz. Para setores altamente regulamentados, como o financeiro, a má governança de fornecedores pode resultar em multas e sanções regulatórias.
Na plataforma Onetrust, é possível catalogar os produtos e serviços fornecidos pelos fornecedores. Além disso, é viável associar o engajamento do produto e serviço ao processo de negócios e às unidades de negócios que ele suporta, fornecendo uma compreensão holística de sua dependência em todo o ecossistema.
Desta forma, é possível estabelecer a responsabilidade pelos serviços, realizar avaliações de risco inerentes em várias categorias de risco, catalogar e avaliar a adequação de seguro para cada fornecedor, avaliar a viabilidade financeira e encaminhar todas as avaliações de risco inerentes ao serviço. Isso proporciona uma compreensão do risco inerente geral associado a cada fornecedor.
Características principais na Plataforma Onetrust:
- Inventariar fornecedor, sua hierarquia de negócios e os contratos e serviços que eles entregam à organização.
- Mapear produtos e serviços para os processos de negócios que eles suportam.
- Realizar avaliações de risco inerentes em diferentes serviços e categorias de risco.
- Capturar e analisar relacionamentos significativos de quarteirização.
- Analisar os recursos financeiros de cada fornecedor para garantir continuidade operacional.
- Acumular avaliações de risco de engajamento para obter um perfil geral de risco do fornecedor.
- Contratos e acordos de serviços associados entre eles.
- Executar avaliações de risco do contrato e serviço, utilizando questionários padronizados.
- Capturar a prova de seguro do terceiro e avaliar a adequação do seguro em relação a todos os trabalhos que estão sendo entregues.
- Integrar os resultados da análise de impacto do processo de negócios em sua avaliação do risco de resiliência inerente.
- Estabelecer responsabilidade para cada envolvimento dos fornecedores.
- Documentar e monitorar os planos de remediação para trazer o risco dentro de uma tolerância aceitável.
- Rastrear exceções relacionadas a compromissos dos fornecedores.
Em resumo, compreender em detalhes o serviço prestado pelo fornecedor é fundamental para obter uma visão clara dos riscos, identificar onde e por que fornecedores estão sendo utilizados em toda a organização, alocar recursos escassos com base nas prioridades mais significativas, garantir maior transparência nos relacionamentos com os parceiros de negócios usando notificações e relatórios robustos, e oferecer garantia positiva à alta administração, ao conselho e aos reguladores sobre a adequação do programa de governança de gestão de riscos da organização.
