A gestão de terceiros melhora a visibilidade dos relacionamentos de uma empresa com entidades externas, como fornecedores e prestadores de serviços. Essa prática visa otimizar o valor e mitigar os riscos associados a esses parceiros.

Para entender o que significa uma gestão de terceiros abrangente, é importante saber onde ela começa e como ela pode envolver toda a empresa. 

Personagens da gestão de terceiros:

• Abastecedores: fornecem matérias-primas ou commodities no início da cadeia de suprimento.
• Fornecedores: oferecem produtos ou serviços mais adiante na cadeia de suprimento; podem incluir parceiros de tecnologia.
• Prestadores de serviços: fornecem serviços ou tecnologias em vez de produtos ou matérias-primas.

Os terceiros têm acesso aos sistemas e à propriedade intelectual da empresa, o que requer a gestão proativa dos riscos.

Saiba mais sobre o ciclo da vida da gestão de terceiros com este e-book.

Evolução da gestão de riscos de terceiros:

• Expansão da gestão de riscos para uma gestão abrangente: a gestão de riscos de terceiros tradicional se concentra na segurança. Hoje, essa área enfatiza a privacidade, a ética e a resiliência operacional, incluindo novos riscos, como os associados à inteligência artificial. Essa mudança para uma gestão de terceiros mais ampla integra várias funções na organização.

O que é o ciclo da vida da gestão de terceiros?

Como qualquer outro relacionamento, o envolvimento de uma empresa com um provedor passa por estágios distintos ao longo do tempo. É importante ter uma estratégia de gestão de terceiros que leve em conta adequadamente cada um desses estágios e uma solução de software que ajude a executá-la. Os estágios do ciclo da vida da gestão de terceiros incluem:

1. Admissão: criação e manutenção de um inventário abrangente de terceiros por meio de integrações de software ou questionários.
2. Definição do apetite ao risco: alinhamento da tolerância ao risco com as metas da organização, envolvendo as principais partes interessadas para definir os níveis de risco aceitáveis. Esses níveis devem ser claramente comunicados aos terceiros.
3. Cálculo do risco inerente: avaliação dos riscos relacionados a terceiros com base em fatores como setor, localização e desempenho. Os riscos inerentes devem ser comparados ao apetite ao risco da empresa para decidir se controles adicionais são necessários.
4. Estágios de avaliação:
   • Triagem de dados de riscos e conformidade: uso de dados externos para identificar sinais de alerta e preocupações éticas. Verificações de due diligence são cruciais para identificar possíveis problemas, como violações regulatórias ou práticas antiéticas.
   • Avaliação de certificações e atestados: revisão das certificações dos terceiros (por exemplo, ISO 27001) para avaliar sua conformidade com normas setoriais e práticas de segurança.
   • Envio de questionários dinâmicos: personalização de questionários para riscos específicos e coleta de informações detalhadas para analisar o alinhamento ao apetite ao risco.
5. Controle e tratamento de riscos: análise das respostas aos questionários para interpretar as implicações dos riscos e implementar controles apropriados. A gestão de riscos deve ser integrada à contratação, a fim de personalizar as medidas de proteção com base nas ameaças identificadas.
6. Monitoramento, resposta e reavaliação: monitoramento contínuo das atividades dos terceiros e reavaliação dos riscos à medida em que os relacionamentos evoluem. Alertas e revisões regulares devem ser implementados para abordar novos riscos e mudanças no envolvimento com os parceiros.
7. Relatório e registro: rastreamento e visualização de métricas relacionadas à gestão de terceiros. Registros automatizados de transparência e conformidade são mantidos.

Funções e responsabilidades para diferentes unidades de negócio

As funções que as diferentes unidades de negócio desempenham na gestão de terceiros são determinadas principalmente pelas variedades de risco com que elas estão mais preocupadas. Para a equipe de segurança, por exemplo, é importante saber se algum fornecedor ou provedor já foi vítima de uma violação de dados e, em caso afirmativo, como foi sua resposta a esse incidente.

Cada uma das unidades de negócio tem suas próprias necessidades envolvendo terceiros, o que significa que elas também precisam de um sistema definido de funções e responsabilidades que proteja sua organização dentro da empresa.  

Funções das principais unidades de negócios:

• Segurança: concentra-se nos riscos de segurança cibernética associados a terceiros, incluindo históricos de violação de dados e medidas de proteção. Garante que os parceiros tenham os controles de segurança adequados e estejam em conformidade com as exigências de continuidade.

• Privacidade: gerencia riscos relacionados à proteção de dados e à conformidade regulatória, particularmente em relação a dados pessoais sensíveis. Coordena-se com a equipe de segurança para proteger os dados e assegurar a conformidade legal.

• Ética e conformidade: faz uma triagem dos riscos regulatórios e de reputação, incluindo práticas antiéticas e violação de políticas. Usa ferramentas de due diligence e monitoramento para identificar possíveis problemas.

• Aquisições: lida com a escolha de fornecedores, licitações e negociação de contratos. Desempenha um papel fundamental na verificação inicial de terceiros e na gestão do processo de integração.

O caminho à frente

A gestão eficaz de terceiros envolve compreender e gerenciar o ciclo da vida das relações com entidades externas. Exige a coordenação entre várias unidades de negócio, a fim de abordar riscos associados a segurança, privacidade, ética e conformidade. Ao gerenciar sistematicamente essas relações e integrar processos de gestão de riscos, as organizações podem gerar mais valor e se proteger contra possíveis ameaças.

Sobre o software Third-Party Management

A ferramenta Third Party Management da OneTrust amplia a visibilidade dos riscos ao gerenciar terceiros em todas áreas da empresa. A solução dá acesso a uma variedade de funcionalidades, cada uma construída com a automação e a economia de tempo em mente. A solução inclui os produtos Third-Party Due Diligence, para verificação de entidades, e Third-Party Risk Management, para mitigação de riscos e gestão de ciclos da vida. Além disso, a solução oferece dados de risco prontos para uso sobre milhares de terceiros, por meio do produto Third-Party Risk Exchange (banco de dados de riscos de terceiros), que apresenta informações de fontes como SecurityScorecard, RiskRecon e ISS Corporate Solutions (anteriormente FICO). 

Juntas, essas ferramentas tornam mais fácil trabalhar de forma confiável com terceiros, reduzindo “pontos cegos” nos domínios de risco, simplificando as ações de conformidade, acelerando a percepção de valor ao integrar e avaliar terceiros e aumentando a resiliência dos negócios por meio do monitoramento contínuo. Ao mesmo tempo, reúnem dados para uma tomada de decisões mais rápida durante todo o ciclo da vida dos terceiros. 

Para saber mais sobre como o software OneTrust Third-Party Management pode ajudar a entender e abordar os riscos em toda a empresa, solicite uma demonstração hoje mesmo.