4 principais erros na avaliação de riscos de fornecedores
Por Fernando Rocca*
A Avaliação de fornecedores é um método indispensável para mensurar a eficácia e a qualidade dos riscos dos processos destinados aos seus fornecedores. É com essa avaliação que se obtém o conhecimento dos processos estruturais e a compreensão do nível de maturidade adotada, podendo assim calcular a média do risco do fornecedor para a organização.
Para tanto, ao utilizarem métodos de avaliação, as empresas conseguem evitar prejuízos, imprevistos, incidentes e principalmente, formar uma rede de fornecedores capaz de suprir as necessidades impostas por legislações ou órgãos reguladores nacionais e internacionais.
1. Menosprezar a gestão de riscos
Vale mencionar que qualquer organização, não importa o tamanho, faturamento ou segmento, está sujeita a acontecimentos inesperados que podem trazer prejuízos à sua imagem institucional e a reputação, principalmente se o episódio chegar até a mídia ou ganhar repercussão nas redes sociais.
Se levarmos em conta que qualquer acontecimento de característica mais crítica, não apenas catástrofes, como o vazamento de informações do negócio ou mesmo de dados pessoais, tem potencial para se transformar em uma crise institucional. A ausência de um plano de gerenciamento de riscos definido, pode desgastar de uma vez por todas a imagem de uma empresa, que é o seu bem mais precioso.
Portanto, sempre aconselhamos aos nossos clientes incluírem em suas estratégias um plano de gerenciamento de crise, como um procedimento não opcional.
2. Limitar a gestão de riscos ou utilizar metodologias inadequadas/obsoletas
A organização deve implementar o processo de gestão de risco abrangendo todas as áreas consideradas críticas para o negócio e não limitar somente a uma única área, pois isso pode ocultar os riscos atrelados a outros processos de negócios, que podem estar diretamente interligados. Também, deve-se avaliar todos os responsáveis de cada área, pois cada gestor conhece em detalhes os processos executados em suas áreas e consequentemente os riscos ligados ao negócio.
Adicionalmente, é imprescindível que se entenda o ambiente e o escopo que irá se avaliar, para que o questionário, destinado aos gestores das áreas, seja aplicado de forma correta e com os frameworks adequados, por exemplo, quando se realiza uma avaliação de fornecedores nos processos de tecnologia, pode se utilizar frameworks tais como: Cobit, ISO27001, PCI-DSS, IOSCO, CIS20, LGPD ou outro que seja aderente ao escopo em avaliação. Portanto, anualmente deve-se rever a avaliação de modo que contemple as atualizações de legislações ou órgãos regulamentadores vigentes, assim como a atualização/criação de novos processos para as novas tecnologias.
3. Cometer exageros na análise de riscos
Para não ter excessos no processo de gestão de risco, deve-se buscar o equilíbrio para o sucesso, pois um dos erros mais comuns cometidos pelos gestores é exatamente por exageros na gestão de risco, o que pode ocorrer de diferentes maneiras.
Riscos relevantes devem ter sua probabilidade analisada, caso ela seja extremamente baixa, pois outros fatores podem ser priorizados. Assim, a mitigação de riscos deve considerar o impacto e a probabilidade segundo a matriz de riscos, concentrando os esforços da gestão no que realmente importa, inclusive definindo os parâmetros externos e internos que devem ser levados em consideração ao gerenciar riscos, escopo e os critérios de risco para a política de gestão.
Para assegurar que a gestão de riscos seja eficaz e continua a apoiar o desempenho organizacional, convém que o gestor de riscos:
4. Avaliar os Fornecedores antes e depois contratação
Considerar o respeito dos critérios de qualificação de fornecedores apenas no momento da homologação é um risco de não conformidade aos processos, pois há validade de documentos e a medição de outros indicadores.
O monitoramento anual dos processos, visa identificar se o fornecedor efetua investimentos para manter e melhorar a maturidade de seus controles garantindo o mínimo necessário para a segurança e privacidade dos dados armazenados ou das informações que trafegam entre os ambientes.
Assim, podemos concluir que é importante realizar uma avaliação de riscos de fornecedores com uma abordagem mais humana no processo, pois basicamente, existe uma enorme sinergia entre clientes e fornecedores que dependem do alinhamento de propósitos e do comprometimento entre ambas as partes envolvidas. A Avaliação de Fornecedores é um processo indispensável e imprescindível para todas as empresas com o intuito de medir a qualidade e eficácia dos riscos dos processos e de mostrar a maturidade e segurança em seus controles.
(*) Fernando Rocca é consultor da AuditSafe especializado em Segurança Cibernética, Gestão de Riscos e Privacidade.
