Capítulo 1
Modelo operacional e governança
Ainda não há consenso em torno da propriedade dos programas de TPRM, mas existe um movimento gradual em direção à centralização.
Ainda não há consenso na indústria em torno da propriedade dos programas de TPRM. No entanto, estamos assistindo a um movimento contínuo e gradual em direção à centralização.
Há inúmeras razões para isso: a necessidade de considerar vários tipos de mensuração de risco (por exemplo, privacidade, risco de quarteirização, resiliência) de forma consistente; ter uma visão transparente de ponta a ponta no ciclo de vida do envolvimento de terceiros; uma clara delimitação de responsabilidade e prestação de contas através das linhas de defesa; e tornar a adesão a políticas e padrões mais rigorosos e consistentes.
Há também pressão para que os resultados da due diligence sejam mais rápidos, em um escopo mais amplo e profundo. Para fazer isso, as organizações estão se voltando mais frequentemente para os serviços públicos de mercado para diminuir os tempos de ciclo e aumentar a qualidade dos dados que entram na due diligence e nas decisões de supervisão contínua. Ao mesmo tempo, as organizações estão mudando o headcount interno que tradicionalmente suportava essas funções para atividades de gerenciamento de risco que agregam mais valor, e envolvendo partes externas para lidar com a natureza variável dos volumes de avaliação.
Capítulo 2
Automação, tecnologia e relatórios
A integração da tecnologia nos ecossistemas TPRM está aumentando, mas as ferramentas baseadas na tecnologia não são uma cura para tudo.
Ao longo dos últimos anos, as organizações avançaram para a racionalização e integração de tecnologia e vários conjuntos de ferramentas em todo o ecossistema de gestão de terceiros.
Os clientes têm demonstrado interesse e iniciado conversas sobre o aproveitamento de advanced analytics e AI para demonstrar o valor dos programas de TPRM, encontrar oportunidades para gerenciar custos e identificar melhores percepções nos dados para responder a novos e complexos requisitos regulatórios. No entanto, apenas uma em cada cinco organizações pesquisadas está atualmente usando análise avançada. As organizações também estão buscando integração com consórcios, serviços públicos de mercado e outros serviços de gerenciamento.
Contudo, as ferramentas baseadas na tecnologia não são uma cura para tudo. As organizações devem definir estruturas e requisitos de relatórios (indicadores-chave de desempenho e de risco) que sejam adequados ao propósito e exclusivos da organização antes de habilitá-los através da tecnologia. Como as organizações alavancam a tecnologia e a automação, elas têm a oportunidade de reunir mais dados em muitos processos para melhorar os relatórios, o TPRM, os processos de compras e os analytics.
Capítulo 3
Quarteirização, violações de dados e resiliência
As revisões de quarteirização devem estar no topo da agenda de gestão de riscos.
As "Fourth parties" ou quarteirizações continuam sendo um ponto cego para muitas empresas. Relativamente poucas organizações fazem suas próprias análises independentes de fourth parties e estão cada vez mais confiando nos termos contratuais entre os terceirizados e a quarteirização para a supervisão.
As revisões relacionadas às quarteirizações devem estar no topo da agenda de gestão de riscos, pois podem apresentar um ponto cego para vários riscos de terceiros para a organização. A organização, como proprietária dos dados, será firmemente responsabilizada por qualquer violação. A organização deve sempre saber para onde seus dados estão indo, especialmente os dados dos clientes, como eles estão sendo tratados ou usados e quem está acessando e/ou usando os dados.
As organizações podem reduzir sua exposição potencial avaliando os riscos antecipadamente e considerando a quarteirização dentro da avaliação de risco inerente na contratação inicial, na fase de embarque ou dentro das atividades de supervisão em andamento. Elas também poderiam aproveitar ferramentas automatizadas de inteligência de ameaças para revisões mais perspicazes de quarteirização; esta é uma abordagem que a maioria dos entrevistados da pesquisa não utiliza atualmente.
Capítulo 4
Expansão e estruturas de risco
As organizações estão procurando aproveitar fontes de dados externas para sua expansão de risco.
Reavaliação (avaliação de risco/controle)
76%das organizações reavaliam anualmente pontos criticos de terceiros.
Frameworks para outros tipos de mensuração de risco foram desenvolvidos recentemente (por exemplo, a Regulamentação Geral de Privacidade de Dados e a Lei de Privacidade do Consumidor da Califórnia) ou podem não existir ainda, já que as organizações não têm um ponto de referência sobre o que outros estão usando para lidar com esses riscos. Esta pode ser a razão pela qual mais organizações estão procurando aproveitar fontes de dados externas para entender e avaliar sua expansão de risco e para alinhar melhor sua metodologia de TPRM.
As expansões de risco da conformidade regulamentar e riscos operacionais são prevalecentes. Algumas organizações estão pesando o custo e o esforço da conformidade contra a probabilidade de ações de fiscalização contra elas.
Se uma empresa está se expandindo, apenas frameworks limitadas estão disponíveis para permitir a avaliação simultânea de terceiros em cibersegurança e privacidade, bem como as outras áreas de expansão de risco como a resiliência.
Capítulo 5
Áreas de foco emergentes
Maior foco em áreas como segurança cibernética, cadeia de suprimentos e definição de relacionamentos críticos.
As organizações são confrontadas com expectativas elevadas de stakeholders na gestão de risco, assim como a entrada em novos empreendimentos e mercados, que carregam os seus próprios riscos.
Também tem havido um maior foco e diálogo em outras áreas, incluindo segurança cibernética, risco de quarteirização e cadeia de suprimentos, e cobertura global e aplicabilidade dos regulamentos.
Além disso, há um foco crescente na definição de relações críticas, especialmente a nível do conselho. Enquanto a demanda por supervisão dos programas de TPRM aumenta, há também uma maior integração do TPRM com os programas de Risco Operacional e de Gerenciamento de Risco Corporativo para fornecer uma visão composta à administração.
Resumo
Nossa pesquisa de gestão de risco de terceiros (TPRM) identifica cinco áreas nas quais as organizações estão se concentrando para construir confiança com terceiros em um mundo movido pela disrupção e tecnologia. Estas incluem um movimento gradual para a centralização do risco e um uso crescente de tecnologias como a inteligência artificial.