Cinco maneiras para ajudar a construir confiança com terceiros

Ainda não há consenso na indústria em torno da propriedade dos programas de TPRM. No entanto, estamos assistindo a um movimento contínuo e gradual em direção à centralização.

Há inúmeras razões para isso: a necessidade de considerar vários tipos de mensuração de risco (por exemplo, privacidade, risco de quarteirização, resiliência) de forma consistente; ter uma visão transparente de ponta a ponta no ciclo de vida do envolvimento de terceiros; uma clara delimitação de responsabilidade e prestação de contas através das linhas de defesa; e tornar a adesão a políticas e padrões mais rigorosos e consistentes.

Há também pressão para que os resultados da due diligence sejam mais rápidos, em um escopo mais amplo e profundo. Para fazer isso, as organizações estão se voltando mais frequentemente para os serviços públicos de mercado para diminuir os tempos de ciclo e aumentar a qualidade dos dados que entram na due diligence e nas decisões de supervisão contínua. Ao mesmo tempo, as organizações estão mudando o headcount interno que tradicionalmente suportava essas funções para atividades de gerenciamento de risco que agregam mais valor, e envolvendo partes externas para lidar com a natureza variável dos volumes de avaliação.

Ao longo dos últimos anos, as organizações avançaram para a racionalização e integração de tecnologia e vários conjuntos de ferramentas em todo o ecossistema de gestão de terceiros.

Os clientes têm demonstrado interesse e iniciado conversas sobre o aproveitamento de advanced analytics e AI para demonstrar o valor dos programas de TPRM, encontrar oportunidades para gerenciar custos e identificar melhores percepções nos dados para responder a novos e complexos requisitos regulatórios. No entanto, apenas uma em cada cinco organizações pesquisadas está atualmente usando análise avançada. As organizações também estão buscando integração com consórcios, serviços públicos de mercado e outros serviços de gerenciamento.

Contudo, as ferramentas baseadas na tecnologia não são uma cura para tudo. As organizações devem definir estruturas e requisitos de relatórios (indicadores-chave de desempenho e de risco) que sejam adequados ao propósito e exclusivos da organização antes de habilitá-los através da tecnologia. Como as organizações alavancam a tecnologia e a automação, elas têm a oportunidade de reunir mais dados em muitos processos para melhorar os relatórios, o TPRM, os processos de compras e os analytics.

As "Fourth parties" ou quarteirizações continuam sendo um ponto cego para muitas empresas. Relativamente poucas organizações fazem suas próprias análises independentes de fourth parties e estão cada vez mais confiando nos termos contratuais entre os terceirizados e a quarteirização para a supervisão.

As revisões relacionadas às quarteirizações devem estar no topo da agenda de gestão de riscos, pois podem apresentar um ponto cego para vários riscos de terceiros para a organização. A organização, como proprietária dos dados, será firmemente responsabilizada por qualquer violação. A organização deve sempre saber para onde seus dados estão indo, especialmente os dados dos clientes, como eles estão sendo tratados ou usados e quem está acessando e/ou usando os dados.

As organizações podem reduzir sua exposição potencial avaliando os riscos antecipadamente e considerando a quarteirização dentro da avaliação de risco inerente na contratação inicial, na fase de embarque ou dentro das atividades de supervisão em andamento. Elas também poderiam aproveitar ferramentas automatizadas de inteligência de ameaças para revisões mais perspicazes de quarteirização; esta é uma abordagem que a maioria dos entrevistados da pesquisa não utiliza atualmente.

As organizações pesquisadas geralmente confiam em estruturas padronizadas como base para seus questionários de avaliação de risco, embora as estruturas específicas que utilizam variem muito.

Frameworks para outros tipos de mensuração de risco foram desenvolvidos recentemente (por exemplo, a Regulamentação Geral de Privacidade de Dados e a Lei de Privacidade do Consumidor da Califórnia) ou podem não existir ainda, já que as organizações não têm um ponto de referência sobre o que outros estão usando para lidar com esses riscos. Esta pode ser a razão pela qual mais organizações estão procurando aproveitar fontes de dados externas para entender e avaliar sua expansão de risco e para alinhar melhor sua metodologia de TPRM.

As expansões de risco da conformidade regulamentar e riscos operacionais são prevalecentes. Algumas organizações estão pesando o custo e o esforço da conformidade contra a probabilidade de ações de fiscalização contra elas.

Se uma empresa está se expandindo, apenas frameworks limitadas estão disponíveis para permitir a avaliação simultânea de terceiros em cibersegurança e privacidade, bem como as outras áreas de expansão de risco como a resiliência.

As organizações são confrontadas com expectativas elevadas de stakeholders na gestão de risco, assim como a entrada em novos empreendimentos e mercados, que carregam os seus próprios riscos.

Também tem havido um maior foco e diálogo em outras áreas, incluindo segurança cibernética, risco de quarteirização e cadeia de suprimentos, e cobertura global e aplicabilidade dos regulamentos.

Além disso, há um foco crescente na definição de relações críticas, especialmente a nível do conselho. Enquanto a demanda por supervisão dos programas de TPRM aumenta, há também uma maior integração do TPRM com os programas de Risco Operacional e de Gerenciamento de Risco Corporativo para fornecer uma visão composta à administração.