Skip to main content

The risks associated with suppliers have a direct impact on organizations. Financial losses, damage to reputation, data breaches and poor delivery quality are examples of constant concerns of outsourced service managers. As the partner becomes critical, the risks related to him are increased, the relationship gains more complexity and the health of the partnership becomes an essential factor for the success of the business. Thus, in order to establish strategies for dealing with such threats, supplier risk management assumes an important role in protecting the value delivered and contributes to the company's other management systems.

Reinforcing the presented reality, the research “Third-party governance and risk management – The threats are real”, Conducted by Deloitte, shows that 26% of participating companies have already suffered some kind of reputation damage, 23% were in non-compliance with regulatory requirements and 21% experienced the breach of confidential customer data - all resulting from third party actions.

However, even though aware of the risks involved, most organizations are not yet prepared to deal with these issues. This fact is reiterated by the study “The Practical Aspect: Third-party Risk Management”, Published by ISACA: although 90% of organizations indicate that they have expand the use of outsourcing, 70% do not have a strategy aimed at managing supplier risks.

Given this context, how to design a strategy that can protect your organization? Based on our experience in supplier management projects and good market practices, we present a step-by-step process for structuring a supplier risk management process, prepared in line with the NBR ISO 31000 standard.

1º passo – Conhecer os riscos aos quais o processo de gestão de fornecedores está sujeito.

Entender e listar todos os possíveis riscos relacionados a fornecedores, bem como as ameaças atreladas a eles. Os stakeholders dos processos devem ser consultados para que sejam mapeadas as vulnerabilidades às quais a organização é exposta devido à ação de terceiros. Esse primeiro levantamento deve ser bem detalhado, repassando todos os aspectos da operação com a finalidade de elencar os pontos críticos da forma mais assertiva possível.

Existem inúmeros riscos que podem ser encarados pelas organizações, que variam de acordo com seu porte, posição de mercado, setor de atuação etc. Portanto, a fim de auxiliar na execução desse passo, alinhando nosso conhecimento adquirido em projetos no tema às pesquisas “Can you transform your third parties’ risk into a competitive advantage?”, “Managing Your Riskiest Vendors” e “Supplier risk management”, publicadas pela Ernest Young, Vendor Risk e pwc, respectivamente, listamos os principais tipos de riscos encontrados:

Operacional Falha de processos, pessoas ou sistemas do fornecedor, ocasionando baixo desempenho ou a paralisação de um segmento do negócio.
Segurança da Informação e Privacidade Deficiências na gestão de segurança da informação e controle de privacidade do fornecedor, resultando em perda de dados ou comprometimento da segurança digital da organização.
Financeiro Impacto negativo na saúde financeira da organização devido ao relacionamento com fornecedores. Pode ser derivado de um valor superestimado para a prestação de serviço ou perda de receita relacionada à dependência de um fornecedor específico.
Regulatório e de Compliance Fornecedor em desconformidade com requerimentos regulatórios obrigatórios, submetendo a organização a multas e penalidades.
Imagem e Reputação Ações do fornecedor que possam resultar em uma exposição negativa da marca e do nome da organização contratante.

2º passo – Analisar, classificar e priorizar as ameaças.

Analisar e classificar as ameaças detectadas com base em critérios como: relevância do impacto, probabilidade de materialização e abrangência dentro da organização. Para facilitar a rotulação, recomenda-se a atribuição de notas aos critérios e a utilização de categorias como “alta, média e baixa relevância”. A priorização das ameaças é estabelecida a partir dessa categorização e do apetite da organização a riscos.

Nesta etapa, a ausência de uma análise crítica pode tornar a gestão de riscos custosa e complexa. Uma vez que as ameaças são referentes a terceiros, a organização se depara com a importante decisão de aceitar, mitigar, eliminar ou transferir o risco, com base no seu contexto individual e no que faz sentido dentro do cenário vigente.

3º passo – Homologar e classificar os fornecedores de acordo com os riscos associados.

Definir requisitos necessários para atuação na organização e estruturar o processo de homologação, no qual os fornecedores são submetidos a uma série de avaliações que garantem o atendimento das condições estabelecidas. Atributos técnicos, jurídicos, financeiros e de compliance são considerados nessa análise. O processo de homologação deve ser realizado periodicamente e servir como insumo para a classificação.

Para classificar os fornecedores, deve-se realizar uma análise em relação aos riscos associados à contratação e aos serviços prestados. Assim como na categorização das ameaças, as classificações devem ser adotadas para agrupar os fornecedores. São exemplos de possíveis rótulos de agrupamento: “estratégico, tático e operacional” ou “alto, médio e baixo risco”. A classificação de fornecedores tem como objetivo principal o endereçamento de ações de gestão específicas para cada grupo e outros critérios, além dos riscos, podem ser considerados para sua elaboração.

4º passo – Definir ações de gestão para cada categoria de fornecedor.

Determinar as ações de gestão que serão adotadas para a mitigação de riscos em cada uma das categorias de fornecedores estabelecidas: elaboração de planos de ação, periodicidade de reuniões de status, definição do nível de compartilhamento de informações, realização de auditorias no fornecedor, frequência de realização do processo de homologação e nível de monitoramento.

5º passo - Assegurar a melhoria contínua do processo de gestão de riscos de fornecedores.

Garantir a segurança da gestão de fornecedores por meio de processos de melhoria contínua. Não há escassez quando o assunto é risco, pois novas ameaças despontam a todo momento e a identificação e gestão delas devem ser uma prática constante. A organização deve definir diretrizes e construir políticas a fim de estabelecer a governança do processo.

O modelo exposto neste artigo foi utilizado pela Bridge para apoiar a implantação de métodos de gerenciamento de riscos de fornecedores de Tecnologia da Informação (TI) em uma instituição financeira de grande porte. Devido ao elevado número de profissionais terceiros atuantes, a organização sentia a necessidade de gerenciar, de maneira robusta, riscos relacionados a eles. Dentre as principais mudanças implantadas, passou-se a realizar encontros mensais com fornecedores estratégicos para acompanhamento da operação e do status das ações de mitigação de riscos acordadas. Questões como falha nas entregas e baixo desempenho passaram a ser discutidas no nível de pessoas, proporcionando mais agilidade na substituição e reposição de profissionais terceiros alocados, bem como redução no número de desvios de processo e melhora na qualidade do serviço prestado.

É importante ressaltar que, mesmo podendo representar novas ameaças, a prática de terceirização possibilita diversas oportunidades e benefícios para as organizações, especialmente quando combinada a um processo de gestão de riscos de fornecedores sólido e bem estruturado. Recomenda-se que as soluções construídas sejam factíveis e de complexidade adequada à necessidade e ao nível de maturidade da organização, a fim de que sejam mantidas no longo prazo.  Percebemos então que implantar as ações aqui descritas significa buscar constantemente a excelência, resultando na melhora do relacionamento com o fornecedor e no sucesso da prestação de serviço, sendo vantajoso para ambas as partes.

Se possuir interesse em saber como podemos apoiar a sua organização na definição de uma estratégia de gestão de riscos de fornecedores de TI, entre em contato com a Bridge através de contato@bridgeconsulting.com.br e continue acompanhando nosso conteúdo sobre gestão de fornecedores.

 

Veja também:

Terceirização e Gestão de Fornecedores

Alavanque sua TI transformando fornecedores em parceiros estratégicos

Gestão de Fornecedores: o que não pode faltar

Daniela Luchini é Engenheira Mecânica formada pela Universidade Federal do Rio Grande do Sul (UFRGS) e mestranda em Engenharia, na área de Ciência e Tecnologia dos Materiais, na mesma universidade. Atua como consultora da Bridge Consulting em projetos de Gestão de Fornecedores.