Os riscos associados a fornecedores têm impacto direto nas organizações. Perdas financeiras, danos à reputação, violação de dados e baixa qualidade nas entregas são exemplos de preocupações constantes dos gestores de serviços terceirizados. À medida que o parceiro se torna crítico, os riscos relacionados a ele são potencializados, a relação ganha maior complexidade e a saúde da parceria se torna um fator essencial ao sucesso do negócio. Dessa forma, a fim de estabelecer estratégias para o tratamento de tais ameaças, a gestão de riscos de fornecedores assume um papel relevante na proteção do valor entregue e contribui para os demais sistemas de gestão da empresa.

Reforçando a realidade apresentada, a pesquisa “Third-party governance and risk management – The threats are real”, conduzida pela Deloitte, mostra que 26% das empresas participantes já sofreram algum tipo de dano à reputação, 23% estiveram em não conformidade com requerimentos regulatórios e 21% experienciaram a violação de dados confidenciais de clientes – todos decorrentes de ações de terceiros.

Contudo, mesmo ciente dos riscos envolvidos, a maioria das organizações ainda não está preparada para lidar com essas questões. Esse fato é reiterado pelo estudo “The Practical Aspect: Third-party Risk Management”, publicado pela ISACA: apesar de 90% das organizações indicarem que têm planos de expandir o uso de outsourcing, 70% não têm uma estratégia direcionada ao gerenciamento de riscos de fornecedores.

Diante desse contexto, como desenhar uma estratégia capaz de proteger a sua organização? Com base na nossa experiência em projetos de gestão de fornecedores e em boas práticas de mercado, apresentamos um passo a passo para estruturação de um processo de gestão de riscos de fornecedores, elaborado em linha com a norma NBR ISO 31000.

1º passo – Conhecer os riscos aos quais o processo de gestão de fornecedores está sujeito.

Entender e listar todos os possíveis riscos relacionados a fornecedores, bem como as ameaças atreladas a eles. Os stakeholders dos processos devem ser consultados para que sejam mapeadas as vulnerabilidades às quais a organização é exposta devido à ação de terceiros. Esse primeiro levantamento deve ser bem detalhado, repassando todos os aspectos da operação com a finalidade de elencar os pontos críticos da forma mais assertiva possível.

Existem inúmeros riscos que podem ser encarados pelas organizações, que variam de acordo com seu porte, posição de mercado, setor de atuação etc. Portanto, a fim de auxiliar na execução desse passo, alinhando nosso conhecimento adquirido em projetos no tema às pesquisas “Can you transform your third parties’ risk into a competitive advantage?”, “Managing Your Riskiest Vendors” e “Supplier risk management”, publicadas pela Ernest Young, Vendor Risk e pwc, respectivamente, listamos os principais tipos de riscos encontrados:

Operacional Falha de processos, pessoas ou sistemas do fornecedor, ocasionando baixo desempenho ou a paralisação de um segmento do negócio.
Segurança da Informação e Privacidade Deficiências na gestão de segurança da informação e controle de privacidade do fornecedor, resultando em perda de dados ou comprometimento da segurança digital da organização.
Financeiro Impacto negativo na saúde financeira da organização devido ao relacionamento com fornecedores. Pode ser derivado de um valor superestimado para a prestação de serviço ou perda de receita relacionada à dependência de um fornecedor específico.
Regulatório e de Compliance Fornecedor em desconformidade com requerimentos regulatórios obrigatórios, submetendo a organização a multas e penalidades.
Imagem e Reputação Ações do fornecedor que possam resultar em uma exposição negativa da marca e do nome da organização contratante.

2º passo – Analisar, classificar e priorizar as ameaças.

Analisar e classificar as ameaças detectadas com base em critérios como: relevância do impacto, probabilidade de materialização e abrangência dentro da organização. Para facilitar a rotulação, recomenda-se a atribuição de notas aos critérios e a utilização de categorias como “alta, média e baixa relevância”. A priorização das ameaças é estabelecida a partir dessa categorização e do apetite da organização a riscos.

Nesta etapa, a ausência de uma análise crítica pode tornar a gestão de riscos custosa e complexa. Uma vez que as ameaças são referentes a terceiros, a organização se depara com a importante decisão de aceitar, mitigar, eliminar ou transferir o risco, com base no seu contexto individual e no que faz sentido dentro do cenário vigente.

3º passo – Homologar e classificar os fornecedores de acordo com os riscos associados.

Definir requisitos necessários para atuação na organização e estruturar o processo de homologação, no qual os fornecedores são submetidos a uma série de avaliações que garantem o atendimento das condições estabelecidas. Atributos técnicos, jurídicos, financeiros e de compliance são considerados nessa análise. O processo de homologação deve ser realizado periodicamente e servir como insumo para a classificação.

Para classificar os fornecedores, deve-se realizar uma análise em relação aos riscos associados à contratação e aos serviços prestados. Assim como na categorização das ameaças, as classificações devem ser adotadas para agrupar os fornecedores. São exemplos de possíveis rótulos de agrupamento: “estratégico, tático e operacional” ou “alto, médio e baixo risco”. A classificação de fornecedores tem como objetivo principal o endereçamento de ações de gestão específicas para cada grupo e outros critérios, além dos riscos, podem ser considerados para sua elaboração.

4º passo – Definir ações de gestão para cada categoria de fornecedor.

Determinar as ações de gestão que serão adotadas para a mitigação de riscos em cada uma das categorias de fornecedores estabelecidas: elaboração de planos de ação, periodicidade de reuniões de status, definição do nível de compartilhamento de informações, realização de auditorias no fornecedor, frequência de realização do processo de homologação e nível de monitoramento.

5º passo - Assegurar a melhoria contínua do processo de gestão de riscos de fornecedores.

Garantir a segurança da gestão de fornecedores por meio de processos de melhoria contínua. Não há escassez quando o assunto é risco, pois novas ameaças despontam a todo momento e a identificação e gestão delas devem ser uma prática constante. A organização deve definir diretrizes e construir políticas a fim de estabelecer a governança do processo.

O modelo exposto neste artigo foi utilizado pela Bridge para apoiar a implantação de métodos de gerenciamento de riscos de fornecedores de Tecnologia da Informação (TI) em uma instituição financeira de grande porte. Devido ao elevado número de profissionais terceiros atuantes, a organização sentia a necessidade de gerenciar, de maneira robusta, riscos relacionados a eles. Dentre as principais mudanças implantadas, passou-se a realizar encontros mensais com fornecedores estratégicos para acompanhamento da operação e do status das ações de mitigação de riscos acordadas. Questões como falha nas entregas e baixo desempenho passaram a ser discutidas no nível de pessoas, proporcionando mais agilidade na substituição e reposição de profissionais terceiros alocados, bem como redução no número de desvios de processo e melhora na qualidade do serviço prestado.

É importante ressaltar que, mesmo podendo representar novas ameaças, a prática de terceirização possibilita diversas oportunidades e benefícios para as organizações, especialmente quando combinada a um processo de gestão de riscos de fornecedores sólido e bem estruturado. Recomenda-se que as soluções construídas sejam factíveis e de complexidade adequada à necessidade e ao nível de maturidade da organização, a fim de que sejam mantidas no longo prazo.  Percebemos então que implantar as ações aqui descritas significa buscar constantemente a excelência, resultando na melhora do relacionamento com o fornecedor e no sucesso da prestação de serviço, sendo vantajoso para ambas as partes.

Se possuir interesse em saber como podemos apoiar a sua organização na definição de uma estratégia de gestão de riscos de fornecedores de TI, entre em contato com a Bridge através de contato@bridgeconsulting.com.br e continue acompanhando nosso conteúdo sobre gestão de fornecedores.

Daniela Luchini é Engenheira Mecânica formada pela Universidade Federal do Rio Grande do Sul (UFRGS) e mestranda em Engenharia, na área de Ciência e Tecnologia dos Materiais, na mesma universidade. Atua como consultora da Bridge Consulting em projetos de Gestão de Fornecedores.