Como recursos finitos poderão atender a um universo de riscos infinitos? Como recursos finitos poderão atender a um universo de riscos infinitos?

Autores
João Herculano

Sócio-líder de Consultoria de Riscos de Tecnologia e Gestão de Riscos de Terceiros na EY Brasil

Sócio da EY, com mais de 22 anos de experiência prestando serviços de consultoria e auditoria no Brasil e no mundo.

Henrique Quaresma

Associate Partner da área de Consulting da EY

Especialista em gestão de riscos de terceiros, riscos de tecnologia, segurança da informação e auditoria de TI.

10 Minutos de leitura 8 nov 2021

À medida que os riscos relacionados à terceiros aumenta, as organizações estão se concentrando em um programa mais inteligente de Third-Party Risk Management (Gerenciamento de Risco de Terceiros ou TPRM) para governança e execução.

Em resumo
  • As empresas estabilizaram ou reduziram seus gastos com programas de TPRM, apesar dos riscos emergentes, fazendo com que muitas desafiassem seus modelos operacionais e o escopo geral do programa.
  • A integração do programa TPRM entre as funções de negócios oferece uma oportunidade de melhorar a qualidade dos dados e agilizar a tomada de decisões de gastos diretos e indiretos.
  • A automação e outras tecnologias podem ajudar as empresas a amadurecer seus programas de TPRM para obter eficiência e melhorar a supervisão em tempo real.

Durante o último ano, a COVID-19 e os riscos emergentes estão jogando luz sobre a importância e a dependência de terceiros em um ambiente de negócios interconectado. À medida que as empresas emergem cautelosamente dos desafios do ano passado, elas sentem a necessidade de trabalhar de forma mais inteligente, e não mais dura, pois enfrentam um universo de risco em expansão com recursos limitados.

A pesquisa global EY de gestão de riscos de terceiros (TPRM) 2021 aborda como organizações de todos os setores estão protegendo seus negócios contra riscos de terceiros. No mundo de hoje, as empresas precisam trabalhar com várias empresas terceirizadas para se manterem ágeis e competitivas, mas o relacionamento com cada terceirizado adiciona riscos potenciais, incluindo o risco cibernético, o risco regulatório e o risco de marca.

A pesquisa global EY de TPRM revela algumas tendências e oportunidades importantes em:

  1. Governança eficaz, cobertura do programa e modelos operacionais diferenciados
  2. Expansão do universo baseado em risco
  3. Integração entre áreas
  4. Tecnologia, automação e fontes externas de dados

Essas tendências ressaltam o enfoque atual das organizações uma vez que navegam pelas mudanças da fronteira de TPRM. Embora o território seja inexplorado, há placas de sinalização apontando o caminho. As empresas têm ciência sobre as várias ferramentas e facilitadores que podem maximizar seus esforços de TPRM, mas precisam de conhecimento prático sobre a melhor maneira de usá-los. O investimento estratégico em processos e tecnologias de TPRM pode resultar em eficiência e valor, acelerando a maturidade em áreas-chave. Uma melhor conectividade e transparência ao longo do ciclo de vida completo dos terceirizados poderá proporcionar uma melhor tomada de decisão, velocidade de entrega e menor custo organizacional.

(Chapter breaker)
1

Capítulo 1

Governança eficaz, cobertura do programa e modelos operacionais diferenciados

As organizações estão buscando maneiras mais eficientes e autofinanciadas de gerenciar o cenário de risco de terceiros.

Para acompanhar a expansão do universo de riscos, as organizações precisam de uma base de governança inteligente e execução do programa. Infelizmente, as restrições de recursos e financiamento parecem ter atingido o limite, mesmo com o escopo dos programas de TPRM em contínua expansão. Em nossa pesquisa mais recente, divulgada em 2020, os entrevistados esperavam aumentar seus gastos em várias categorias, desde governança e supervisão à políticas e normas. Mas a pesquisa deste ano aponta que as organizações estão menos dispostas a aumentar seus orçamentos — cada categoria de gastos viu uma redução média de 13%. Em última análise, as organizações precisam encontrar maneiras diferentes e mais eficientes de gerir o risco de terceiros com seus próprios recursos.

Os gastos continuam concentrados no programa principal (por exemplo, equipe de TPRM, consultoria externa), sendo que 33% das organizações pesquisadas gastam mais de US$ 500 mil. O segundo maior gasto é na execução de avaliações, com 22% gastando mais de US$ 500 mil. À medida que os programas de TPRM identificam oportunidades de automação e outras eficiências de custo, e promovem uma abordagem baseada em risco em todo o programa, as desvantagens históricas dos programas centralizados diminuem. Por fim, as organizações estão usando um modelo centralizado — em comparação com 50% na pesquisa de 2020..

TPRM program structure

No entanto, essa maior centralização revelou uma falta de conhecimento nas áreas organizacionais. As empresas ainda têm dificuldade em encontrar a abordagem e os recursos certos para executar as atividades de gestão de mudanças com eficiência. Por exemplo, menos da metade dos entrevistados tinha um módulo de treinamento em TPRM para comunicar as expectativas às partes interessadas internas, sendo que 82% recorriam a páginas da intranet, políticas, procedimentos ou FAQs. Como as organizações continuam a evoluir em um ritmo rápido para lidar com as tecnologias emergentes, as novas capacidades de dados e um mundo em constante mudança, essa educação passiva simplesmente não é suficiente. Essa possível desconexão oferece uma oportunidade para engajar melhor as partes interessadas durante todo o ciclo de vida dos terceirizados para que elas entendam a proposta de valor da TPRM, além de sua função operacional e sua responsabilidade.

Mandate and communicate TPRM expectations

As duas áreas mais comuns visadas pelas inspeções da auditoria interna e dos órgãos reguladores foram avaliações de terceiros seguida de supervisão e governança. Uma governança forte e a execução do programa são a espinha dorsal de uma boa gestão de risco, e os revisores internos e externos ainda se concentram nessas áreas.

Cobertura e escopo do programa

A cobertura do programa de TPRM também continuou a se expandir, abarcando a gestão de inventário de terceiros não tradicionais. Para possibilitar esse inventário e cobertura mais amplos, as organizações estão desenvolvendo catálogos de serviço robustos para direcionar adequadamente os trabalhos para o devido nível de supervisão.

Nontraditional third parties

Modelos operacionais que utilizam suporte externo

As operating models change, so do decisions on delivery structures. This year’s survey found that respondents are leveraging multiple forms of external support. Managed service providers, market utilities and sector-based consortiums are helping companies do more with reduced spend and resources. In parallel, internal talent is being retained and enabled to focus on differentiating risks and high-value activities.

Conforme os modelos operacionais mudam, as decisões sobre as estruturas de entrega também mudam. A pesquisa deste ano constatou que os entrevistados estão recorrendo a várias formas de suporte externo. Esses modelos operacionais estão ajudando as empresas a fazer mais com menos gastos e recursos. Paralelamente, há retenção de talentos internos, que estão sendo direcionados aos riscos diferenciados e atividades de alto valor.

TPRM execution
(Chapter breaker)
2

Capítulo 2

Expansão do universo baseado em risco

O escopo do inventário, a classificação por níveis e uma nova visão crítica podem ajudar a implementar melhor os recursos finitos.

Nos próximos dois a três anos, o esforço necessário para gerenciar efetivamente o risco de terceiros só vai aumentar, em grande parte devido a um universo de riscos em expansão, aumento das bases de suprimentos, relacionamentos mais complexos, capacidades de mercado adicionais e aumento do foco regulatório, especialmente em qualquer coisa considerada crítica para a infraestrutura de um país. Com orçamentos e horas finitos, as organizações precisarão determinar cuidadosamente onde e como os recursos podem ser melhor aplicados. 

Trabalhar de forma mais inteligente, e não mais intenso, neste contexto enfatiza a importância da análise de escopo, categorização e criticidade do inventário. O número de empresas terceirizadas continua a crescer, fazendo com que as empresas elevem significativamente o nível para inserção no escopo de seu programa (os entrevistados indicaram que em média 25% do total de terceiros entraram no escopo dos programas de TPRM contra os 47% da pesquisa do ano anterior). As organizações estão apresentando progresso no uso de uma abordagem baseada em risco para a avaliação de terceiros, diminuindo o número de avaliações de controle realizadas. De fato, as respostas mostram que 9% da população de terceiros foi submetida à avaliações de controle contra os 26% de 2020. Com os desafios da pandemia, as organizações estão percebendo o que realmente importa para seu negócio e onde o risco está presente — e estão utilizando seus recursos finitos em áreas como resiliência, infraestrutura tecnológica e terceiros críticos para a empresa.

Volume de terceiros

Em 2020, os respondentes disseram que

47%

do total de terceiros estavam incluídos no escopo de TPRM

Em 2021, os respondentes disseram que

25%

of total third parties were in-scope for their TPRM program.

Em 2020, os respondentes disseram que

26%

dos terceiros foram avaliados

Em 2021, os respondentes disseram que

8%

dos terceiros foram avaliados

Em termos de categorização, as organizações continuam a reduzir o número de terceiros classificados como críticos (organizações com mais de 5.000 terceirizados classificaram menos de 5% de sua população como crítica). Há um menor número de terceirizados classificados em categorias de alto risco, sendo que os entrevistados classificam um número cada vez maior em “outros riscos” contra os 26% no ano passado. Essas mudanças aceleradas são provavelmente resultado das pressões de custo relacionadas à pandemia e concentram-se na resiliência de terceiros, levando as empresas a reavaliar seus critérios de classificação para se concentrar nos terceirizados que mais importam e têm impacto maior sobre a organização. Os entrevistados observaram que os três critérios mais importantes para definir terceiros críticos foram a criticidade dos serviços prestados, a sensibilidade dos dados envolvidos na prestação dos serviços e a continuidade e resiliência do negócio.

Third-party risk scale
(Chapter breaker)
3

Capítulo 3

Integração entre áreas

Trabalhar com ofertas de funções internas pode melhorar a qualidade dos dados e agilizar a tomada de decisões.

Embora a maioria dos programas de TPRM esteja alinhada com algumas áreas internas, como segurança da informação e compras, muitas outras áreas ficam por conta própria pois realizam a avaliação de terceiros de forma independente. Ao trabalhar com terceiros, muitas áreas coletam dados semelhantes, mas não se conversam, deixando a organização desinformada sobre a visão integrada do risco. As organizações capazes de preencher essa lacuna com uma abordagem integrada de gestão de risco acharão muito mais fácil ser resiliente em tempos de incerteza.

TPRM data collection

Aproximadamente 86% dos entrevistados fornecem dados relacionados à TPRM às áreas de segurança da informação como parte de seus programas de TPRM. No entanto, o nível de integração cai drasticamente entre as outras partes interessadas pesquisadas, incluindo compras (71%), risco operacional/risco empresarial (65%), compliance – linha de negócio (57%), assessoria jurídica/geral (52%) e tecnologia/ operações (51%). 

A integração entre áreas dentro do programa de TPRM oferece uma grande oportunidade para integrar ainda mais taxonomias, melhorar a qualidade dos dados e evitar a replicação desnecessária de dados, melhorando o inventário de terceiros. Isso, por sua vez, reduziria o desgaste das áreas de negócio e controle de terceiros, pois elas atenderiam a menos solicitações de dados duplicados. 

Um melhor alinhamento também aceleraria a tomada de decisões sobre gastos diretos e indiretos ao longo do ciclo de vida dos terceiros. Isso ofereceria a transparência necessária para ajudar a reduzir a proliferação de terceiros em áreas-chave como TI e segurança cibernética e em processos de negócio importantes que dependem muito de um grande volume de terceiros, como sinistros, originação de empréstimos, fornecedores de peças e fornecedores de matérias-primas.

O difícil caminho para a integração

Infelizmente, o caminho para a integração apresenta vários obstáculos. Diferentes áreas podem estar usando diferentes ferramentas ou tecnologias para coletar dados, sendo que 27% a 34% dos entrevistados não possuem tecnologia dedicada ou não conhecem o ecossistema de ferramentas disponíveis para seus programas. Não há uma solução única para implementar a tecnologia; no entanto, as organizações precisam considerar uma forma de gerir o ciclo de vida completo e integrado, pesando os benefícios de uma ferramenta corporativa mais abrangente ou de uma ferramenta de TPRM dedicada e menos abrangente.

TPRM Survey RGB Table
(Chapter breaker)
4

Capítulo 4

Tecnologia, automação e fontes externas de dados

As organizações ainda estão aprendendo como podem aproveitar as tecnologias para gerar valor e eficiência em seus processos.

De acordo com o relatório EY Global Board Risk Survey, muitas organizações estão investindo pesado em tecnologia para tornar os processos internos mais eficientes e criar novas experiências para os clientes. Mas, inerente a essas transformações digitais, há uma complexa teia de fatores de risco — do viés da inteligência artificial a violações de dados. Uma gestão de risco eficaz é essencial para a concepção e aplicação de iniciativas de transformação, considerando-se a ampla gama de potenciais disruptores. 

E embora as organizações pareçam intrigadas com tecnologias e serviços emergentes, suas ações ainda não correspondem às suas intenções. Muito do que é possível continua sendo apenas isso — uma possibilidade — uma vez que as empresas têm dificuldade para integrar provedores de dados externos, serviços de mercado (market utilities) e automação robótica de processos (RPA) em seus processos de TPRM, a fim de reduzir o esforço e o tempo de ciclo e melhorar os recursos de monitoramento. 

Embora 84% das organizações estejam usando algum tipo de provedor de dados externo, uma parcela significativa os usa apenas em determinadas áreas. Pouco mais de um terço dessas organizações consideram essas tecnologias e produtos extremamente ou muito úteis, indicando que organizações ainda estão relutantes em adotar essas tecnologias, incluí-las nas metodologias de risco e usá-las para impulsionar o valor e a eficiência geral.

Threat intelligence

Há uma oportunidade para aproveitar as fontes de dados externas disponíveis (por exemplo, financeiros, cibernéticos, geopolíticos) para monitorar os principais indicadores de risco contra os limites predefinidos de apetite ao risco e de tolerância ao risco, reduzindo os esforços de reavaliação. Repensar a metodologia de risco da TPRM de forma a incluir provedores de dados externos oferece uma chance para diminuir o desgaste da avaliação. De fato, 35% dos entrevistados continuam a realizar avaliações anuais de controle em seus segmentos de terceiros de menor risco (ou seja, os segmentos com o segundo maior risco, terceiro maior risco e outros riscos), e 21% das empresas pesquisadas sequer usam essas tecnologias em seus programas. Além disso, 45% dos entrevistados não usam nenhum provedor de dados externos para avaliar a saúde financeira e a reputação de terceiros, indicando uma oportunidade substancial para reduzir atividades de avaliação manuais e pontuais.

Ferramentas de inteligência

A aceleração da automação e da implantação de tecnologia proporcionará uma visão melhor dos problemas e ameaças reais, como exposição em toda a empresa e concentrações de risco. Com 64% dos entrevistados atribuindo valor ao uso de ferramentas de inteligência de ameaças e risco, as empresas têm a chance de amadurecer seus programas de TPRM para ganhar eficiência e, ao mesmo tempo, melhorar a supervisão de riscos em tempo real. Há também uma oportunidade significativa de aproveitar a automação para melhorar os recursos de monitoramento contínuo, uma vez que 34% das organizações pesquisadas consideram essas ferramentas de mercado extremamente úteis ou muito úteis.

Intelligence tools

Investimento em atividades

Mesmo com esse uso mais amplo de ferramentas de inteligência, apenas uma em cada cinco das organizações pesquisadas utiliza análise avançada, e um número ainda menor usa a inteligência artificial (IA), RPA ou blockchain. No entanto, muitas outras organizações reconhecem os benefícios que essas tecnologias podem proporcionar. Mais de um em cada três entrevistados espera começar a usar análise avançada nos próximos dois ou três anos, e quase um em cada três planeja usar a IA.

Time investment in activities

Tempos e tipos de ciclo de avaliação

Ao considerar o impacto da pandemia, as organizações reduziram as avaliações presenciais, dando preferência às remotas e virtuais. A avaliação virtual — com compartilhamento na tela dos artefatos e materiais normalmente examinados presencialmente — fornece cobertura e conforto similares aos de uma típica avaliação presencial, o que também pode ajudar a reduzir o tempo do ciclo de avaliação. À medida que as organizações encontram novas maneiras inovadoras de alcançar um resultado semelhante, essa tendência deve provavelmente continuar pois reduz o custo e o tempo do ciclo.

TPRM remote assessment
(Chapter breaker)
5

Chapter 5

Súmario

O universo do risco de terceiros continua a crescer, as organizações estão tentando gerenciar essa expansão trabalhando de forma mais inteligente, e não mais intensa.

Acompanhar esse ritmo exige uma base de gestão de risco de terceiros com governança inteligente e execução de programas — complementada com treinamento de funcionários, categorização do escopo de inventário com base na criticidade e modelos operacionais que incluam suporte externo. Ao se empenharem para transformar seus programas de TPRM, as organizações devem considerar melhorias na integração e o alinhamento entre áreas, o uso de fontes de dados externos e ferramentas de inteligência, bem como de novas formas de trabalho, como avaliações remotas e virtuais.

Saiba mais em: ey.com.br/tprm

Resumo

O universo do risco de terceiros continua crescendo, e as organizações estão tentando gerenciar essa expansão trabalhando de forma mais inteligente, e não mais intensa. Acompanhar esse ritmo exige uma base de gestão de risco de terceiros com governança inteligente e execução de programas — complementada com treinamento de funcionários, categorização do escopo de inventário com base na criticidade e modelos operacionais que incluam suporte externo. Ao se empenharem para transformar seus programas de TPRM, as organizações tem diversas ameaças e oportunidades para se considerar.

Sobre este artigo

Autores
João Herculano

Sócio-líder de Consultoria de Riscos de Tecnologia e Gestão de Riscos de Terceiros na EY Brasil

Sócio da EY, com mais de 22 anos de experiência prestando serviços de consultoria e auditoria no Brasil e no mundo.

Henrique Quaresma

Associate Partner da área de Consulting da EY

Especialista em gestão de riscos de terceiros, riscos de tecnologia, segurança da informação e auditoria de TI.