5 Minutos de leitura 8 mai 2020
Circunferência de trânsito central

Cinco maneiras para ajudar a construir confiança com terceiros

Por Vignesh Veerasamy

EY US West Business Consulting and TD&E Leader

Strategic thinker. Complex problem solver. Innovation enthusiast. People focused.

5 Minutos de leitura 8 mai 2020

Mostrar recursos

  • 2004-3465938 EY Global Third-Party Risk Management Survey 2019-20_updated.pptx

  • EY Global third-party risk management survey highlights 2019-20 (pdf)

Os resultados da nossa pesquisa de gestão de risco de terceiros (TPRM) são oportunos com o aumento da dependência de terceiros na pandemia da COVID-19.

A rápida evolução da ameaça em relação ao COVID-19 está levantando preocupações sobre a resiliência das empresas a nível global. Uma vulnerabilidade potencialmente negligenciada? A crescente dependência de terceiros. A interconexão do ambiente de negócios atual e o uso de fornecedores externos – desde cadeias de suprimentos até a entrega de serviços comerciais críticos – representa um risco de disrupção que pode resultar em uma perda significativa de receita.

A pesquisa EY TPRM abrange uma ampla gama de organizações, incluindo fabricação avançada e mobilidade, serviços financeiros, bancos e mercados de capitais, consumidores, saúde, seguros, ciências da vida, energia e serviços públicos, tecnologia, mídia e entretenimento, e telecomunicações.

Os resultados, examinados neste artigo, identificam algumas tendências notáveis nas cinco áreas seguintes, e discutidas em nosso relatório, Building trust with your third parties in a technology-driven and disruptive world (pdf) :

  1. Modelo operacional e governança
  2. Automação, tecnologia e relatórios
  3. Quarteirização, violações de dados e resiliência
  4. Expansão e estruturas de risco
  5. Áreas de foco emergentes

Estas tendências incluem um movimento gradual para a centralização do risco em paralelo com o aumento do uso de consórcios/serviços de mercado para expandir a cobertura e a profundidade da due diligence. Enquanto tecnologias como a inteligência artificial (AI) estão aumentando em uso, as organizações devem definir sua própria estrutura específica de relatórios e requisitos antes de automatizar os processos relacionados ao risco.

Há também expectativas crescentes dos stakeholders e uma crescente consciência dos riscos apresentados pela entrada em novos empreendimentos e mercados com respeito a parceiros, joint-ventures, colaboradores, quarta parte e outras estruturas de relacionamento. Estas quatro partes continuam sendo um ponto cego para a grande maioria das organizações.

Mostrar recursos

  • Download: Construindo confiança com terceiros em um mundo movido por tecnologia e disrupção - Resultados gerais da pesquisa

Mostrar recursos

  • Download: Construindo confiança com terceiros em um mundo movido por tecnologia e disrupção - Destaques da pesquisa

(Chapter breaker)
1

Capítulo 1

Modelo operacional e governança

Ainda não há consenso em torno da propriedade dos programas de TPRM, mas existe um movimento gradual em direção à centralização.

Ainda não há consenso na indústria em torno da propriedade dos programas de TPRM. No entanto, estamos assistindo a um movimento contínuo e gradual em direção à centralização.

Há inúmeras razões para isso: a necessidade de considerar vários tipos de mensuração de risco (por exemplo, privacidade, risco de quarteirização, resiliência) de forma consistente; ter uma visão transparente de ponta a ponta no ciclo de vida do envolvimento de terceiros; uma clara delimitação de responsabilidade e prestação de contas através das linhas de defesa; e tornar a adesão a políticas e padrões mais rigorosos e consistentes.

Há também pressão para que os resultados da due diligence sejam mais rápidos, em um escopo mais amplo e profundo. Para fazer isso, as organizações estão se voltando mais frequentemente para os serviços públicos de mercado para diminuir os tempos de ciclo e aumentar a qualidade dos dados que entram na due diligence e nas decisões de supervisão contínua. Ao mesmo tempo, as organizações estão mudando o headcount interno que tradicionalmente suportava essas funções para atividades de gerenciamento de risco que agregam mais valor, e envolvendo partes externas para lidar com a natureza variável dos volumes de avaliação.

(Chapter breaker)
2

Capítulo 2

Automação, tecnologia e relatórios

A integração da tecnologia nos ecossistemas TPRM está aumentando, mas as ferramentas baseadas na tecnologia não são uma cura para tudo.

Ao longo dos últimos anos, as organizações avançaram para a racionalização e integração de tecnologia e vários conjuntos de ferramentas em todo o ecossistema de gestão de terceiros.

Os clientes têm demonstrado interesse e iniciado conversas sobre o aproveitamento de advanced analytics e AI para demonstrar o valor dos programas de TPRM, encontrar oportunidades para gerenciar custos e identificar melhores percepções nos dados para responder a novos e complexos requisitos regulatórios. No entanto, apenas uma em cada cinco organizações pesquisadas está atualmente usando análise avançada. As organizações também estão buscando integração com consórcios, serviços públicos de mercado e outros serviços de gerenciamento.

Contudo, as ferramentas baseadas na tecnologia não são uma cura para tudo. As organizações devem definir estruturas e requisitos de relatórios (indicadores-chave de desempenho e de risco) que sejam adequados ao propósito e exclusivos da organização antes de habilitá-los através da tecnologia. Como as organizações alavancam a tecnologia e a automação, elas têm a oportunidade de reunir mais dados em muitos processos para melhorar os relatórios, o TPRM, os processos de compras e os analytics.

(Chapter breaker)
3

Capítulo 3

Quarteirização, violações de dados e resiliência

As revisões de quarteirização devem estar no topo da agenda de gestão de riscos.

As "Fourth parties" ou quarteirizações continuam sendo um ponto cego para muitas empresas. Relativamente poucas organizações fazem suas próprias análises independentes de fourth parties e estão cada vez mais confiando nos termos contratuais entre os terceirizados e a quarteirização para a supervisão.

As revisões relacionadas às quarteirizações devem estar no topo da agenda de gestão de riscos, pois podem apresentar um ponto cego para vários riscos de terceiros para a organização. A organização, como proprietária dos dados, será firmemente responsabilizada por qualquer violação. A organização deve sempre saber para onde seus dados estão indo, especialmente os dados dos clientes, como eles estão sendo tratados ou usados e quem está acessando e/ou usando os dados.

As organizações podem reduzir sua exposição potencial avaliando os riscos antecipadamente e considerando a quarteirização dentro da avaliação de risco inerente na contratação inicial, na fase de embarque ou dentro das atividades de supervisão em andamento. Elas também poderiam aproveitar ferramentas automatizadas de inteligência de ameaças para revisões mais perspicazes de quarteirização; esta é uma abordagem que a maioria dos entrevistados da pesquisa não utiliza atualmente.

(Chapter breaker)
4

Capítulo 4

Expansão e estruturas de risco

As organizações estão procurando aproveitar fontes de dados externas para sua expansão de risco.

As organizações pesquisadas geralmente confiam em estruturas padronizadas como base para seus questionários de avaliação de risco, embora as estruturas específicas que utilizam variem muito.

Reavaliação (avaliação de risco/controle)

76%

das organizações reavaliam anualmente pontos criticos de terceiros.

Frameworks para outros tipos de mensuração de risco foram desenvolvidos recentemente (por exemplo, a Regulamentação Geral de Privacidade de Dados e a Lei de Privacidade do Consumidor da Califórnia) ou podem não existir ainda, já que as organizações não têm um ponto de referência sobre o que outros estão usando para lidar com esses riscos. Esta pode ser a razão pela qual mais organizações estão procurando aproveitar fontes de dados externas para entender e avaliar sua expansão de risco e para alinhar melhor sua metodologia de TPRM.

As expansões de risco da conformidade regulamentar e riscos operacionais são prevalecentes. Algumas organizações estão pesando o custo e o esforço da conformidade contra a probabilidade de ações de fiscalização contra elas.

Se uma empresa está se expandindo, apenas frameworks limitadas estão disponíveis para permitir a avaliação simultânea de terceiros em cibersegurança e privacidade, bem como as outras áreas de expansão de risco como a resiliência.

(Chapter breaker)
5

Capítulo 5

Áreas de foco emergentes

Maior foco em áreas como segurança cibernética, cadeia de suprimentos e definição de relacionamentos críticos.

As organizações são confrontadas com expectativas elevadas de stakeholders na gestão de risco, assim como a entrada em novos empreendimentos e mercados, que carregam os seus próprios riscos.

Também tem havido um maior foco e diálogo em outras áreas, incluindo segurança cibernética, risco de quarteirização e cadeia de suprimentos, e cobertura global e aplicabilidade dos regulamentos.

Além disso, há um foco crescente na definição de relações críticas, especialmente a nível do conselho. Enquanto a demanda por supervisão dos programas de TPRM aumenta, há também uma maior integração do TPRM com os programas de Risco Operacional e de Gerenciamento de Risco Corporativo para fornecer uma visão composta à administração.

Resumo

Nossa pesquisa de gestão de risco de terceiros (TPRM) identifica cinco áreas nas quais as organizações estão se concentrando para construir confiança com terceiros em um mundo movido pela disrupção e tecnologia. Estas incluem um movimento gradual para a centralização do risco e um uso crescente de tecnologias como a inteligência artificial.

Sobre este artigo

Por Vignesh Veerasamy

EY US West Business Consulting and TD&E Leader

Strategic thinker. Complex problem solver. Innovation enthusiast. People focused.