O que é TPRM (Third Party Risk Management, gerenciamento de riscos de terceiros)?

Os terceiros são importantes para o sucesso dos negócios, mas podem introduzir riscos de várias maneiras.

Trabalhar com terceiros pode introduzir riscos ao seu negócio. Se eles tiverem acesso a dados confidenciais, poderão ser um risco à segurança; se eles oferecerem um componente ou serviço essencial para seu negócio, poderão introduzir riscos operacionais, e assim por diante. O gerenciamento de riscos de terceiros permite que as organizações monitorem e avaliem os riscos apresentados por terceiros para identificar onde eles excedem o limite definido pelo negócio. Isso permite que as organizações tomem decisões informadas sobre os riscos e reduzam os riscos apresentados pelos fornecedores a um nível aceitável.

Os terceiros são uma parte importante do sucesso de um negócio. Organizações de todos os portes estão recorrendo cada vez mais a terceiros por sua inovação, seu crescimento e sua transformação digital.

Mas uma forte dependência de terceiros pode ser algo arriscado. A postura de riscos de um terceiro é crucial para a postura de riscos, a resiliência e a reputação de uma empresa que usa um terceiro. Pode ser muito caro e difícil lidar com um incidente de terceiros, e as consequências podem incluir ações regulatórias, danos à reputação e perda de receita. Os terceiros precisam ser cuidadosamente examinados com avaliações contínuas de riscos para garantir que uma organização esteja segura e protegida.

Antes, o gerenciamento de riscos de fornecedores era uma tarefa demorada e sujeita a erros e que consistia em processos manuais que usavam e-mails, planilhas e ferramentas isoladas de gerenciamento de riscos de fornecedores. Esses processos e ferramentas são simplesmente inadequados – nem as ferramentas nem as equipes podem acompanhar o crescente número de terceiros. Alguns dos desafios comuns enfrentados pelas empresas que não implementaram soluções modernas ou abrangentes são:

  • Processos manuais: baixa eficiência no monitoramento de terceiros e uma quantidade maior de tempo para localizar e mitigar problemas.
  • Falta de escalabilidade: as equipes não podem acompanhar o ritmo do gerenciamento de terceiros quando estão usando uma ferramenta que não pode ser escalonada, o que pode aumentar os riscos.
  • Silos: a existência de muitos silos pode criar dificuldades para acessar informações sobre riscos em toda a organização.
  • Desconexão: a ausência de contexto empresarial dificulta a priorização de riscos de terceiros ao longo do ciclo de vida dos fornecedores ou quando os requisitos mudam.

Abaixo, há algumas considerações importantes que precisam ser feitas ao escolher um terceiro. As respostas determinarão o nível de risco que ele apresenta para o negócio:

  • Que tipo de dados está sendo acessado? Que tipo de acesso foi concedido?
  • Ele trabalha com quartas partes que poderiam apresentar desafios de entrega?
  • Ele está em uma parte instável do mundo?
  • Ele está oferecendo um produto ou serviço essencial? Em caso afirmativo, nós precisamos ter um fornecedor alternativo em vigor?
  • Qual é o histórico de segurança dele, quais práticas recomendadas ele tem em vigor e executa? (higiene básica, SLAs de aplicação de patches, histórico de violações etc.)
  • Ele tem planos de continuidade de negócio em vigor?
  • Ele está em conformidade com as normas que sua organização identificou?
  • Qual é a situação financeira dele?

Risco estratégico

A estratégia pode ser ameaçada quando terceiros e organizações não estão alinhados às decisões e aos objetivos. É crucial monitorar os terceiros para garantir que os riscos estratégicos não gerem falta de conformidade ou, por fim, um risco financeiro.

Gráfico que mostra os diferentes tipos de riscos de terceiros.

Risco à reputação

A reputação de uma empresa também pode depender da reputação de um terceiro com quem ela faz negócios. Se um terceiro tiver um problema com a reputação ou uma violação de dados, isso poderá reduzir a confiança do cliente em um negócio que trabalha com o terceiro.

Risco operacional

Às vezes, as operações podem depender de aplicativos e serviços de terceiros, e sempre há o risco de que o terceiro seja vítima de um ataque cibernético ou de um lapso de serviço que pode causar interrupções operacionais, perda de dados ou uma violação de privacidade. Se houver quartas partes envolvidas, as mesmas preocupações se aplicam a elas.

Risco de transação

Pode haver problemas com a entrega de produtos ou serviços de um terceiro, o que pode causar problemas transacionais em uma organização.

Risco de conformidade

Aos poucos, os padrões estão começando a incorporar os riscos de terceiros como um requisito de conformidade; portanto, a tolerância aos riscos em termos de conformidade também deve ser estendida a terceiros.

Risco de segurança da informação

Independentemente da forma assumida pelos dados, surge um nível de risco quando se permite que um terceiro interaja com os dados, incluindo riscos de acesso não autorizado, interrupção, modificação, gravação, inspeção, ou destruição de informações.

Risco financeiro

É importante trabalhar com terceiros financeiramente viáveis para evitar interrupções na cadeia de suprimento. Além disso, os terceiros que estão com dificuldades financeiras podem não estar tão focados em medidas de segurança, o que os deixa abertos a riscos desnecessários.

O gerenciamento de riscos de terceiros tem algumas etapas essenciais:

Integração

Ao considerar trabalhar com um terceiro, é importante fazer uma avaliação inicial de riscos como parte do processo de tomada de decisões, antes de integrar um terceiro formalmente. Você pode usar dados externos para ter uma visão mais ampla dos riscos de terceiros usando, por exemplo, classificações de segurança cibernética para avaliar a postura de segurança deles. Isso reduz a chance de herdar riscos indesejáveis inconscientemente.

Camada

Seja como parte da avaliação inicial de riscos, idealmente realizada antes da integração, ou assim que o terceiro for integrado, é necessário realizar uma avaliação de classificação por níveis. Essa avaliação é feita internamente e resulta na colocação do terceiro em um nível que dita o tipo e a frequência das avaliações que ele receberá. Os fornecedores essenciais ou de nível 1 são os de nível mais alto. Alguns fornecedores podem estar em um nível que não exige avaliações regulares (por exemplo, os terceiros que cortam a grama). Por exemplo, os dados externos de provedores de classificações de segurança podem ser usados para ajustar o nível dos fornecedores, se necessário.

Avaliar

Os terceiros dos níveis superiores devem passar por avaliações de riscos regulares, que devem se basear na área de risco apresentada pelo terceiro. Por exemplo, os fornecedores que fabricam um componente podem ter questões relacionadas a funcionários, saúde e segurança, enquanto as empresas de consultoria podem não ter. Mas, em tese, todos os terceiros teriam questões relacionadas à postura de segurança e viabilidade financeira. A frequência dessas avaliações se baseia no nível, em que o nível mais alto inclui as avaliações mais frequentes.

Gerar descobertas

Quando uma avaliação é concluída, pode haver respostas insatisfatórias ou incompletas. Além disso, todos os dados externos objetivos coletados sobre a postura financeira ou de segurança de terceiros devem ser avaliados nesse momento em busca de quaisquer problemas. Em seguida, os problemas (ou descobertas) podem ser revertidos ao terceiro para que ele responda a eles.

Corrigir problemas

Pode haver um período em que uma avaliação vai e volta, em que as tarefas são geradas, em que os problemas são respondidos e que as evidências são fornecidas, se necessário. Toda a comunicação deve ser registrada para referência futura. No final, pode haver alguns riscos que são aceitos.

Gerar relatórios sobre riscos

Depois de identificar, analisar e corrigir os riscos, relate-os às partes necessárias. Todas as partes interessadas devem ter o nível de visibilidade que desejam.

Monitorar

Como mencionado anteriormente, os terceiros devem ser avaliados continuamente. Idealmente, isso significa monitorar quaisquer mudanças nos riscos ou no desempenho. Isso pode ser feito por meio de avaliações mais frequentes ou de feeds de dados externos, como classificações de segurança cibernética atualizadas continuamente. As mudanças devem acionar automaticamente uma mudança de problema, avaliação e/ou nível. É crucial sempre fazer o monitoramento para garantir que todos os terceiros estejam cumprindo suas obrigações e não apresentem um risco indesejável para a organização.

Descontinuar

Todas as organizações devem ter um processo formal para aposentar terceiros e garantir que todas as informações que não devem ser armazenadas sejam excluídas permanentemente.

  • Visibilidade total sobre todos os relacionamentos com terceiros
  • Uma avaliação pré-contratual formal e diligência prévia
  • Uso de vigências padronizadas e que mitigam riscos
  • Monitoramento e supervisão baseados em riscos
  • Desligamento formal ao final do relacionamento

  • Digitalize e integre todos os aspectos do ciclo de vida de gerenciamento de fornecedores. A avaliação de riscos deve fazer parte das fases iniciais.
  • Consolide as informações dos fornecedores e colabore com terceiros, mantendo uma trilha de auditoria de todas as colaborações.
  • Obtenha e mantenha entendimento e visibilidade sobre os riscos e o desempenho dos terceiros, incluindo subsidiárias (ou quartas partes).
  • Desenvolva uma avaliação detalhada sobre a origem dos riscos.
  • Crie pontuações de risco para comparar, priorizar e comunicar riscos.
  • Use sistemas de automação e aprendizado de máquina para realizar mais e, ao mesmo tempo, reduzir custos.
  • Crie um plano de resiliência e incorpore um plano em todos os aspectos do sistema de gerenciamento de fornecedores.
  • Integre-se a outros aplicativos (como feeds de dados para taxas de segurança cibernética) e sistemas de terceiros.

  • Experiência do cliente aprimorada
  • Melhor postura geral de segurança
  • Mais eficiência operacional
  • Melhoria na aquisição e retenção de clientes
  • Mais confiança do cliente
  • Aumento da receita, das projeções e da lucratividade
  • Desempenho consistente dos terceiros que atende às expectativas
  • Maior capacidade de realizar os objetivos de uma organização, tanto os objetivos estratégicos de negócios quanto os em nível de projeto
  • Menos interrupção dos negócios
  • Recuperação mais rápida das interrupções

Comece a usar o ServiceNow Governance, Risk, and Compliance

Gerencie riscos e resiliência em tempo real com a ServiceNow.