A emergência da gestão do risco de parceiros: as oportunidades e os desafios

A “ocupação” estratégica à escala global pela liderança dos recursos tradicionais e emergentes pelas principais potências, a globalização da economia e a internacionalização, sobretudo das empresas, acompanhadas paralelamente, pelo desenvolvimento tecnológico, estão a transformar a gestão estratégica das organizações. Isto acontece num contexto associado aos novos teatros de operações, em particular o digital, que amplifica o alcance, acelera a velocidade, aproxima o mundo e os seus atores e potencia a dimensão das coisas, a que acrescem os efeitos, impactos e consequências.

Deste quadro resulta que, para sobreviverem e serem mais competitivas, as organizações (sobretudo as empresas) têm de se concentrar nos seus vetores estratégicos (“core business”) e “deixar” o menos estratégico/ operacional para terceiros (fornecedores/parceiros). Uma outra dimensão decisiva reside na criticidade das atividades que estão a ser terceirizadas, resultando em relacionamentos e interdependências estratégicas entre diferentes parceiros – e não apenas tarefas acessórias sem impacto nas operações – em que o elo comum é suporte/dependências do digital.

Não obstante as organizações conseguirem manter, em geral, a reserva do controlo e da liderança estratégica do negócio, tem de se reconhecer que ao serem cruciais (sobretudo, em termos de operação) para os negócios, as parcerias também têm o potencial de os expor a novos riscos. Em termos estratégicos, teremos então novos Riscos Relacionais, em termos operacionais iremo-nos focar de seguida na emergência de novos riscos ao nível da cibersegurança.

Dos riscos às oportunidades

Com a maior “dependência” da digitalização dos processos, sobretudo, da gestão dos riscos de terceiros (TPRM), esta é uma realidade incontornável, logo uma fonte de preocupação/riscos para a liderança e para a gestão.

Os especialistas identificam uma tipologia com quatro riscos principais.

Amplitude do Risco Potencial. Com a proliferação de dados eletrónicos e as violações de dados frequentemente a ocupar as manchetes dos meios de comunicação social, o risco que mais chama a atenção são os incidentes de cibersegurança por via da integração com terceiros. O quadro é, contudo, mais amplo e complexo. Podemos e devemos incluir fatores como a evolução geopolítica, a emergência e consolidação do ESG (Environment, Social e Governance), a privacidade e segurança dos dados, ou as componentes financeira, reputacional, operacional e… a lista pode continuar. Assim, quanto maior for a interdependência digital, maior será o número de riscos potenciais que teremos de gerir.

Análise e relatórios internos. Os executivos e os Conselhos de Administração, conscientes da sensibilidade e importância estratégica do tema, estão a pedir relatórios e informações mais detalhadas sobre o risco de terceiros. A necessidade de proteger as cadeias de fornecimento integradas fazem destacar as interligações com terceiros como matéria relevante para o negócio e para a sua continuidade.

Aumento da globalização e da complexidade da terceirização. Muitas organizações estão a lutar para se manterem atualizadas com as mudanças resultantes das regulamentações e outras diretrizes (compliance). Ao mesmo tempo, os regulamentos e padrões relativos às relações económicas-comerciais com terceiros estão em constante evolução. Estamos perante um quadro cada vez mais vasto e complexo, no ambiente externo e interno. Em todo o caso, muitas organizações estão a conseguir encontrar um caminho entre o custo/investimento em programas TPRM e os restantes.

Como transformar a prática de TRPM em valor?

Com base na abordagem colaborativa, em primeiro lugar, deverá visualizar-se as várias etapas de uma parceira. Em cada uma das fases teremos de gerir o risco relacional, bem como os riscos de cibersegurança.

Na fase de planeamento, teremos as boas práticas de seleção de parceiros e de due dilligence estando em causa o fit relacional como também um conjunto de requisitos mínimos de cibersegurança e assessment do risco inicial do fornecedor. Nesta fase de planeamento estratégico e seleção, existem vários controlos que irão mitigar os riscos e maximizar os benefícios das parcerias estratégicas.

Na formalização dos contratos existem medidas técnicas e organizativas, a par da segurança jurídica, que irão prevenir e apoiar a deteção de eventuais incidentes.

O Onboarding do fornecedor/parceiros, integração de fluxos de informação e operação são outras etapas que deverão ser acompanhadas por controlos adequados, até ao próprio offboarding ou ativação da denominada exit strategy.

A utilização de IA na TPRM

As TPRM podem ser um estudo de caso prático de como a IA Generativa pode fazer a diferença para o negócio e sua exposição a riscos potenciais, por exemplo na avaliação de risco em ações proativas. Estes podem ser treinados para analisar feeds de notícias para identificar potenciais temas de risco e publicações nas redes sociais - relacionadas com reclamações de clientes -, para identificar padrões comuns e para avaliar a probabilidade e o impacto potencial destas reclamações na reputação da empresa. Estes podem ser usados para orientar proativamente a implementação de controles de segurança para mitigar tais riscos.

Um desafio emergente exige novas competências

Em conclusão, num cenário complexo como o atual, é mais importante do que nunca que os líderes reconheçam que, apesar da organização poder terceirizar processos de negócios, não pode terceirizar a responsabilidade. Apesar da tecnologia permitir que os humanos efetuem uma gestão dos riscos de terceiros de forma mais inteligente e eficiente, esta área será decisiva para a sucesso das organizações e exige formação e competências.

A CIIWA, em conjunto com parceiros, está empenhada em desenvolver ofertas de soluções inovadoras que acrescentem valor a toda a comunidade. O TPRM será/é um tema incontornável num mundo cada vez mais digital e interdependente, baseado em cadeias de valor, assentes em cadeias de abastecimento/ fornecimento e em especialização. Estar preparado para este desafio é uma necessidade e um imperativo!

Referências: CyberRisk Alliance Resource, MIT/BCG, OneTrust, Prevalent, Process Unity, Threat Intelligence.