Capítulo 1
Governança eficaz, cobertura do programa e modelos operacionais diferenciados
As organizações estão buscando maneiras mais eficientes e autofinanciadas de gerenciar o cenário de risco de terceiros.
Para acompanhar a expansão do universo de riscos, as organizações precisam de uma base de governança inteligente e execução do programa. Infelizmente, as restrições de recursos e financiamento parecem ter atingido o limite, mesmo com o escopo dos programas de TPRM em contínua expansão. Em nossa pesquisa mais recente, divulgada em 2020, os entrevistados esperavam aumentar seus gastos em várias categorias, desde governança e supervisão à políticas e normas. Mas a pesquisa deste ano aponta que as organizações estão menos dispostas a aumentar seus orçamentos — cada categoria de gastos viu uma redução média de 13%. Em última análise, as organizações precisam encontrar maneiras diferentes e mais eficientes de gerir o risco de terceiros com seus próprios recursos.
Os gastos continuam concentrados no programa principal (por exemplo, equipe de TPRM, consultoria externa), sendo que 33% das organizações pesquisadas gastam mais de US$ 500 mil. O segundo maior gasto é na execução de avaliações, com 22% gastando mais de US$ 500 mil. À medida que os programas de TPRM identificam oportunidades de automação e outras eficiências de custo, e promovem uma abordagem baseada em risco em todo o programa, as desvantagens históricas dos programas centralizados diminuem. Por fim, as organizações estão usando um modelo centralizado — em comparação com 50% na pesquisa de 2020..
No entanto, essa maior centralização revelou uma falta de conhecimento nas áreas organizacionais. As empresas ainda têm dificuldade em encontrar a abordagem e os recursos certos para executar as atividades de gestão de mudanças com eficiência. Por exemplo, menos da metade dos entrevistados tinha um módulo de treinamento em TPRM para comunicar as expectativas às partes interessadas internas, sendo que 82% recorriam a páginas da intranet, políticas, procedimentos ou FAQs. Como as organizações continuam a evoluir em um ritmo rápido para lidar com as tecnologias emergentes, as novas capacidades de dados e um mundo em constante mudança, essa educação passiva simplesmente não é suficiente. Essa possível desconexão oferece uma oportunidade para engajar melhor as partes interessadas durante todo o ciclo de vida dos terceirizados para que elas entendam a proposta de valor da TPRM, além de sua função operacional e sua responsabilidade.
As duas áreas mais comuns visadas pelas inspeções da auditoria interna e dos órgãos reguladores foram avaliações de terceiros seguida de supervisão e governança. Uma governança forte e a execução do programa são a espinha dorsal de uma boa gestão de risco, e os revisores internos e externos ainda se concentram nessas áreas.
Cobertura e escopo do programa
A cobertura do programa de TPRM também continuou a se expandir, abarcando a gestão de inventário de terceiros não tradicionais. Para possibilitar esse inventário e cobertura mais amplos, as organizações estão desenvolvendo catálogos de serviço robustos para direcionar adequadamente os trabalhos para o devido nível de supervisão.
Modelos operacionais que utilizam suporte externo
As operating models change, so do decisions on delivery structures. This year’s survey found that respondents are leveraging multiple forms of external support. Managed service providers, market utilities and sector-based consortiums are helping companies do more with reduced spend and resources. In parallel, internal talent is being retained and enabled to focus on differentiating risks and high-value activities.
Conforme os modelos operacionais mudam, as decisões sobre as estruturas de entrega também mudam. A pesquisa deste ano constatou que os entrevistados estão recorrendo a várias formas de suporte externo. Esses modelos operacionais estão ajudando as empresas a fazer mais com menos gastos e recursos. Paralelamente, há retenção de talentos internos, que estão sendo direcionados aos riscos diferenciados e atividades de alto valor.
Capítulo 2
Expansão do universo baseado em risco
O escopo do inventário, a classificação por níveis e uma nova visão crítica podem ajudar a implementar melhor os recursos finitos.
Nos próximos dois a três anos, o esforço necessário para gerenciar efetivamente o risco de terceiros só vai aumentar, em grande parte devido a um universo de riscos em expansão, aumento das bases de suprimentos, relacionamentos mais complexos, capacidades de mercado adicionais e aumento do foco regulatório, especialmente em qualquer coisa considerada crítica para a infraestrutura de um país. Com orçamentos e horas finitos, as organizações precisarão determinar cuidadosamente onde e como os recursos podem ser melhor aplicados.
Trabalhar de forma mais inteligente, e não mais intenso, neste contexto enfatiza a importância da análise de escopo, categorização e criticidade do inventário. O número de empresas terceirizadas continua a crescer, fazendo com que as empresas elevem significativamente o nível para inserção no escopo de seu programa (os entrevistados indicaram que em média 25% do total de terceiros entraram no escopo dos programas de TPRM contra os 47% da pesquisa do ano anterior). As organizações estão apresentando progresso no uso de uma abordagem baseada em risco para a avaliação de terceiros, diminuindo o número de avaliações de controle realizadas. De fato, as respostas mostram que 9% da população de terceiros foi submetida à avaliações de controle contra os 26% de 2020. Com os desafios da pandemia, as organizações estão percebendo o que realmente importa para seu negócio e onde o risco está presente — e estão utilizando seus recursos finitos em áreas como resiliência, infraestrutura tecnológica e terceiros críticos para a empresa.
Volume de terceiros
Em 2020, os respondentes disseram que
47%do total de terceiros estavam incluídos no escopo de TPRM
Em 2021, os respondentes disseram que
25%of total third parties were in-scope for their TPRM program.
Em 2020, os respondentes disseram que
26%dos terceiros foram avaliados
Em 2021, os respondentes disseram que
8%dos terceiros foram avaliados
Em termos de categorização, as organizações continuam a reduzir o número de terceiros classificados como críticos (organizações com mais de 5.000 terceirizados classificaram menos de 5% de sua população como crítica). Há um menor número de terceirizados classificados em categorias de alto risco, sendo que os entrevistados classificam um número cada vez maior em “outros riscos” contra os 26% no ano passado. Essas mudanças aceleradas são provavelmente resultado das pressões de custo relacionadas à pandemia e concentram-se na resiliência de terceiros, levando as empresas a reavaliar seus critérios de classificação para se concentrar nos terceirizados que mais importam e têm impacto maior sobre a organização. Os entrevistados observaram que os três critérios mais importantes para definir terceiros críticos foram a criticidade dos serviços prestados, a sensibilidade dos dados envolvidos na prestação dos serviços e a continuidade e resiliência do negócio.
Capítulo 3
Integração entre áreas
Trabalhar com ofertas de funções internas pode melhorar a qualidade dos dados e agilizar a tomada de decisões.
Embora a maioria dos programas de TPRM esteja alinhada com algumas áreas internas, como segurança da informação e compras, muitas outras áreas ficam por conta própria pois realizam a avaliação de terceiros de forma independente. Ao trabalhar com terceiros, muitas áreas coletam dados semelhantes, mas não se conversam, deixando a organização desinformada sobre a visão integrada do risco. As organizações capazes de preencher essa lacuna com uma abordagem integrada de gestão de risco acharão muito mais fácil ser resiliente em tempos de incerteza.
Aproximadamente 86% dos entrevistados fornecem dados relacionados à TPRM às áreas de segurança da informação como parte de seus programas de TPRM. No entanto, o nível de integração cai drasticamente entre as outras partes interessadas pesquisadas, incluindo compras (71%), risco operacional/risco empresarial (65%), compliance – linha de negócio (57%), assessoria jurídica/geral (52%) e tecnologia/ operações (51%).
A integração entre áreas dentro do programa de TPRM oferece uma grande oportunidade para integrar ainda mais taxonomias, melhorar a qualidade dos dados e evitar a replicação desnecessária de dados, melhorando o inventário de terceiros. Isso, por sua vez, reduziria o desgaste das áreas de negócio e controle de terceiros, pois elas atenderiam a menos solicitações de dados duplicados.
Um melhor alinhamento também aceleraria a tomada de decisões sobre gastos diretos e indiretos ao longo do ciclo de vida dos terceiros. Isso ofereceria a transparência necessária para ajudar a reduzir a proliferação de terceiros em áreas-chave como TI e segurança cibernética e em processos de negócio importantes que dependem muito de um grande volume de terceiros, como sinistros, originação de empréstimos, fornecedores de peças e fornecedores de matérias-primas.
O difícil caminho para a integração
Infelizmente, o caminho para a integração apresenta vários obstáculos. Diferentes áreas podem estar usando diferentes ferramentas ou tecnologias para coletar dados, sendo que 27% a 34% dos entrevistados não possuem tecnologia dedicada ou não conhecem o ecossistema de ferramentas disponíveis para seus programas. Não há uma solução única para implementar a tecnologia; no entanto, as organizações precisam considerar uma forma de gerir o ciclo de vida completo e integrado, pesando os benefícios de uma ferramenta corporativa mais abrangente ou de uma ferramenta de TPRM dedicada e menos abrangente.
Capítulo 4
Tecnologia, automação e fontes externas de dados
As organizações ainda estão aprendendo como podem aproveitar as tecnologias para gerar valor e eficiência em seus processos.
De acordo com o relatório EY Global Board Risk Survey, muitas organizações estão investindo pesado em tecnologia para tornar os processos internos mais eficientes e criar novas experiências para os clientes. Mas, inerente a essas transformações digitais, há uma complexa teia de fatores de risco — do viés da inteligência artificial a violações de dados. Uma gestão de risco eficaz é essencial para a concepção e aplicação de iniciativas de transformação, considerando-se a ampla gama de potenciais disruptores.
E embora as organizações pareçam intrigadas com tecnologias e serviços emergentes, suas ações ainda não correspondem às suas intenções. Muito do que é possível continua sendo apenas isso — uma possibilidade — uma vez que as empresas têm dificuldade para integrar provedores de dados externos, serviços de mercado (market utilities) e automação robótica de processos (RPA) em seus processos de TPRM, a fim de reduzir o esforço e o tempo de ciclo e melhorar os recursos de monitoramento.
Embora 84% das organizações estejam usando algum tipo de provedor de dados externo, uma parcela significativa os usa apenas em determinadas áreas. Pouco mais de um terço dessas organizações consideram essas tecnologias e produtos extremamente ou muito úteis, indicando que organizações ainda estão relutantes em adotar essas tecnologias, incluí-las nas metodologias de risco e usá-las para impulsionar o valor e a eficiência geral.
Há uma oportunidade para aproveitar as fontes de dados externas disponíveis (por exemplo, financeiros, cibernéticos, geopolíticos) para monitorar os principais indicadores de risco contra os limites predefinidos de apetite ao risco e de tolerância ao risco, reduzindo os esforços de reavaliação. Repensar a metodologia de risco da TPRM de forma a incluir provedores de dados externos oferece uma chance para diminuir o desgaste da avaliação. De fato, 35% dos entrevistados continuam a realizar avaliações anuais de controle em seus segmentos de terceiros de menor risco (ou seja, os segmentos com o segundo maior risco, terceiro maior risco e outros riscos), e 21% das empresas pesquisadas sequer usam essas tecnologias em seus programas. Além disso, 45% dos entrevistados não usam nenhum provedor de dados externos para avaliar a saúde financeira e a reputação de terceiros, indicando uma oportunidade substancial para reduzir atividades de avaliação manuais e pontuais.
Ferramentas de inteligência
A aceleração da automação e da implantação de tecnologia proporcionará uma visão melhor dos problemas e ameaças reais, como exposição em toda a empresa e concentrações de risco. Com 64% dos entrevistados atribuindo valor ao uso de ferramentas de inteligência de ameaças e risco, as empresas têm a chance de amadurecer seus programas de TPRM para ganhar eficiência e, ao mesmo tempo, melhorar a supervisão de riscos em tempo real. Há também uma oportunidade significativa de aproveitar a automação para melhorar os recursos de monitoramento contínuo, uma vez que 34% das organizações pesquisadas consideram essas ferramentas de mercado extremamente úteis ou muito úteis.
Investimento em atividades
Mesmo com esse uso mais amplo de ferramentas de inteligência, apenas uma em cada cinco das organizações pesquisadas utiliza análise avançada, e um número ainda menor usa a inteligência artificial (IA), RPA ou blockchain. No entanto, muitas outras organizações reconhecem os benefícios que essas tecnologias podem proporcionar. Mais de um em cada três entrevistados espera começar a usar análise avançada nos próximos dois ou três anos, e quase um em cada três planeja usar a IA.
Tempos e tipos de ciclo de avaliação
Ao considerar o impacto da pandemia, as organizações reduziram as avaliações presenciais, dando preferência às remotas e virtuais. A avaliação virtual — com compartilhamento na tela dos artefatos e materiais normalmente examinados presencialmente — fornece cobertura e conforto similares aos de uma típica avaliação presencial, o que também pode ajudar a reduzir o tempo do ciclo de avaliação. À medida que as organizações encontram novas maneiras inovadoras de alcançar um resultado semelhante, essa tendência deve provavelmente continuar pois reduz o custo e o tempo do ciclo.
Chapter 5
Súmario
O universo do risco de terceiros continua a crescer, as organizações estão tentando gerenciar essa expansão trabalhando de forma mais inteligente, e não mais intensa.
Acompanhar esse ritmo exige uma base de gestão de risco de terceiros com governança inteligente e execução de programas — complementada com treinamento de funcionários, categorização do escopo de inventário com base na criticidade e modelos operacionais que incluam suporte externo. Ao se empenharem para transformar seus programas de TPRM, as organizações devem considerar melhorias na integração e o alinhamento entre áreas, o uso de fontes de dados externos e ferramentas de inteligência, bem como de novas formas de trabalho, como avaliações remotas e virtuais.
Saiba mais em: ey.com.br/tprm
Artigos relacionados
Resumo
O universo do risco de terceiros continua crescendo, e as organizações estão tentando gerenciar essa expansão trabalhando de forma mais inteligente, e não mais intensa. Acompanhar esse ritmo exige uma base de gestão de risco de terceiros com governança inteligente e execução de programas — complementada com treinamento de funcionários, categorização do escopo de inventário com base na criticidade e modelos operacionais que incluam suporte externo. Ao se empenharem para transformar seus programas de TPRM, as organizações tem diversas ameaças e oportunidades para se considerar.
