Artigo
04/06/2023
Atualizado em 10/04/2026

Gerenciamento de risco de terceiros

Gestão estratégica para identificar, avaliar e mitigar riscos na terceirização, essencial para conformidade, reputação e operação segura em instituições financeiras.

Imagem de capa do artigo

O gerenciamento de risco de terceiros (que em inglês chamam de: "TPRM") é uma prática estratégica que permite as empresas identificar, avaliar e mitigar riscos associados à terceirização de funções de negócios.

E no caso das instituições financeiras, que sabemos de que cada vez mais dependem fortemente de terceiros (e até de quarta partes) para suas operações essenciais, esta gestão destes riscos é importante para garantir a conformidade regulatória, proteger a reputação e salvaguardar a integridade operacional, por isto resolvi escrever um pouco mais a respeito do tema.

A gestão de riscos de terceiros é um processo complexo e multifacetado que requer atenção constante em várias fases, que queria detalhar melhor abaixo:

1) Prospecção:

Identificação e seleção de possíveis fornecedores com base em vários critérios, incluindo competência técnica, estabilidade financeira e conformidade regulatória.

Esta fase envolve a busca de fornecedores que possam atender às necessidades do negócio, e o desafio aqui é equilibrar a competência técnica, custos, reputação e conformidade regulatória. Um erro comum é se concentrar demais no custo, negligenciando outros aspectos, como a reputação ou a estabilidade financeira do fornecedor.

Por exemplo, uma instituição financeira pode optar por um fornecedor de software barato, apenas para descobrir que este fornecedor não cumpre com os regulamentos de segurança cibernética necessários, resultando em penalidades regulatórias e danos à reputação.

2) Negociação:

Estabelecimento de uma relação formal com o fornecedor, muitas vezes envolvendo a negociação de acordos de nível de serviço (SLAs) e a garantia de que os fornecedores entendem suas obrigações.

Um erro comum é não definir adequadamente as expectativas, o que pode levar a mal-entendidos e falhas de desempenho.

Por exemplo, se um SLA não especificar os tempos de resposta para incidentes de segurança, um fornecedor pode não agir com a urgência necessária em caso de violação de dados.

3) Avaliação:

Avaliação dos fornecedores potenciais por sua capacidade de atender às exigências de negócios e conformidade regulatória.

O desafio é reunir e interpretar informações precisas, e um erro comum é confiar muito nas autoavaliações dos fornecedores.

Por exemplo, um fornecedor pode afirmar que cumpre com todas as normas de segurança de dados, mas sem uma auditoria independente, esta afirmação pode não ser verificável.

4) Mitigação de Risco:

Desenvolvimento de estratégias para minimizar os riscos associados à terceirização, incluindo planos de contingência para falhas de fornecedor.

Os desafios incluem a identificação de todos os riscos potenciais e a criação de planos de contingência eficazes, e um erro comum é subestimar a possibilidade de falha do fornecedor.

Por exemplo, uma organização pode não ter um plano adequado se um fornecedor de processamento de pagamentos falhar, resultando em interrupções de serviço e perda de receita.

5) Contratação:

Finalização de acordos contratuais que estipulam as expectativas de desempenho, as obrigações de conformidade e as provisões para mitigação de riscos.

Os desafios incluem a garantia de que todas as obrigações e expectativas estão claramente definidas no contrato, e um erro comum é não incluir provisões suficientes para a mitigação de riscos.

Por exemplo, um contrato pode não estipular que o fornecedor deve manter um seguro adequado, o que pode resultar em perdas financeiras significativas se o fornecedor causar danos.

6) Relatórios:

Documentação e comunicação dos resultados das avaliações de risco para stakeholders internos e externos.

O desafio é apresentar as informações de uma forma clara e útil para os stakeholders, e um erro comum é não comunicar adequadamente os riscos, o que pode levar a uma compreensão insuficiente e à falta de ação.

Por exemplo, se um relatório de avaliação de risco não detalhar de forma clara as vulnerabilidades de um fornecedor, os stakeholders podem subestimar a urgência das ações de mitigação de risco.

7) Monitoramento Contínuo:

Supervisão constante do desempenho do fornecedor e dos riscos associados para garantir a conformidade contínua e identificar problemas emergentes.

O desafio aqui é manter uma visão atualizada e precisa de todos os fornecedores, o que pode ser difícil se houver muitos fornecedores ou se os fornecedores não cooperarem com as atividades de monitoramento, e um erro comum é assumir que uma avaliação inicial positiva significa que um fornecedor será sempre de baixo risco.

Por exemplo, um fornecedor pode inicialmente ter fortes medidas de segurança cibernética, mas se essas medidas não forem mantidas ao longo do tempo, o risco pode aumentar.

8) Desligamento:

A fase de desligamento envolve o encerramento da relação com um fornecedor quando necessário.

Os desafios aqui incluem a garantia de uma transição suave para um novo fornecedor e a minimização de interrupções do serviço, e um erro comum é não planejar adequadamente o desligamento, o que pode levar a atrasos e a problemas operacionais.

Por exemplo, se um fornecedor de serviços de TI for desligado sem um substituto adequado já em vigor, pode haver uma interrupção nos serviços de TI, o que pode afetar adversamente as operações do negócio.

Como puderam ver acima, cada fase do processo de gestão de risco de terceiros apresenta seus desafios e oportunidades únicos. Para gerenciar efetivamente esses riscos, as instituições financeiras precisam implementar políticas e práticas robustas de gerenciamento de risco de terceiros, e estar preparadas para adaptar essas políticas e práticas à medida que as circunstâncias mudam.

Avaliar a maturidade desta gestão destes riscos permite identificar pontos fortes e fracos do atual programa de gerenciamento de riscos. Essa avaliação baseia-se em vários critérios, como a robustez das políticas e processos de gestão de riscos de terceiros, a eficácia das medidas de mitigação de riscos e a capacidade de resposta a incidentes.

A maturidade pode ser entendida como o grau em que os processos de gestão de riscos de um fornecedor são desenvolvidos, implementados e mantidos ao longo do tempo.

Queria então falar mais sobre alguns dos aspectos principais que as instituições financeiras devem considerar ao avaliar a maturidade da gestão de riscos de seus fornecedores:

1) Programa de gestão de riscos de fornecedores:

Instituições financeiras devem avaliar se um fornecedor tem um programa de gestão de riscos de fornecedores estabelecido e se esse programa é adequado para as necessidades da instituição. Os elementos essenciais de um programa maduro podem incluir uma estrutura clara de responsabilidades, políticas e procedimentos documentados, e processos formais de monitoramento e avaliação de riscos.

2) Avaliação de riscos e diligência prévia:

Fornecedores com gestão de riscos madura regularmente realizam avaliações de riscos e diligência prévia para identificar e mitigar potenciais ameaças. Eles devem ter processos para avaliar a natureza e a extensão dos riscos associados a seus fornecedores, incluindo fornecedores de quarta parte.

3) Capacidade de resposta a incidentes:

Fornecedores maduros têm planos de resposta a incidentes em vigor e são capazes de responder de forma eficaz quando ocorrem problemas. Isso pode incluir a capacidade de isolar e remediar ameaças de segurança cibernética, e de se recuperar de interrupções do serviço.

4) Monitoramento contínuo:

Fornecedores com gestão de riscos madura monitoram continuamente seus fornecedores para detectar quaisquer mudanças que possam aumentar o risco. Isso pode envolver o monitoramento de indicadores como o desempenho do fornecedor, as condições financeiras do fornecedor, e quaisquer mudanças regulatórias ou de mercado que possam afetar o fornecedor.

5) Gestão de contratos:

Fornecedores maduros têm processos robustos de gestão de contratos que incluem cláusulas contratuais para mitigação de riscos, e mecanismos para garantir que os fornecedores estejam cumprindo suas obrigações contratuais.

Para avaliar a maturidade da gestão de riscos de um fornecedor, as instituições financeiras podem usar várias ferramentas e técnicas, incluindo questionários de autoavaliação, auditorias independentes, e análises de benchmarking. O objetivo é ter uma visão clara da capacidade do fornecedor de gerenciar riscos de forma eficaz e consistente ao longo do tempo.

Uma vez identificados os pontos de melhoria, as organizações podem implementar estratégias para avançar a maturidade da gestão de riscos de terceiros. Isso pode envolver a revisão das políticas existentes, o aprimoramento das habilidades da equipe ou a adoção de novas tecnologias de gerenciamento de riscos.

Existem vários métodos de confiança que as instituições financeiras podem usar para avaliar fornecedores:

1) Classificações de segurança:

As classificações de segurança fornecem uma medida objetiva da postura de segurança cibernética de um fornecedor, com base em uma variedade de indicadores, como a frequência de incidentes de segurança e a robustez das defesas cibernéticas.

2) Questionários de segurança:

Os questionários permitem que as instituições peçam aos fornecedores que forneçam detalhes sobre suas práticas de segurança. Esses questionários podem ser personalizados para as necessidades específicas de uma instituição.

3) Avaliações virtuais e presenciais:

As avaliações virtuais e presenciais permitem que as instituições examinem as operações de um fornecedor em primeira mão. Estes podem variar desde auditorias completas de segurança até inspeções mais focadas de áreas específicas, como centros de dados ou práticas de gerenciamento de pessoal.

4) Controles críticos versus todos os outros:

Os controles críticos são aqueles que são essenciais para a segurança e o desempenho. Ao avaliar fornecedores, é importante focar nesses controles, sem ignorar os outros.

Escolher o método certo para avaliar um fornecedor de terceiros dependerá de fatores como o tipo de serviço que o fornecedor está fornecendo, a importância desse serviço para a instituição e a postura de risco geral da instituição.

Na cadeia de fornecimento, os fornecedores de quarta parte são os fornecedores dos seus fornecedores de terceiros e assim por diante. Identificar quais partes focar pode ser desafiador, mas geralmente será aqueles que fornecem serviços críticos ou que têm acesso a dados sensíveis.

A manutenção de registros sobre fornecedores de quarta parte é uma parte importante da gestão de riscos. Isso pode envolver manter uma lista atualizada de todas as partes, juntamente com detalhes sobre o tipo de serviço que fornecem e quaisquer avaliações de risco realizadas.

Os programas de gestão de risco de parte podem variar de básico a maduro. Os programas básicos tendem a focar apenas nos fornecedores mais críticos, enquanto os programas maduros implementam uma abordagem mais abrangente, avaliando e monitorando todos os fornecedores na cadeia de fornecimento.

Lidar com um fornecedor que é pouco cooperativo com atividades de diligência devida pode ser um desafio, então nestes casos uma abordagem pode ser incluir cláusulas contratuais que exigem cooperação em atividades de diligência devida, mas se mesmo assim o fornecedor continuar a ser pouco cooperativo, pode ser necessário reavaliar a relação.

Realizar avaliações cibernéticas e tecnológicas e outras atividades de monitoramento contínuo é fundamental para garantir que os fornecedores estejam mantendo padrões adequados de segurança e desempenho. Ferramentas como análises de tráfego de rede, avaliações de conformidade de segurança e auditorias de processos podem ser úteis para este fim.

Compreender a gestão de risco de fornecedores de quarta parte é crucial, pois esses fornecedores podem apresentar riscos significativos. Os fornecedores de quarta parte são os fornecedores dos fornecedores de terceiros da sua organização e podem estar fora do seu controle direto, mas ainda assim representam um risco para a sua organização. Por exemplo, se um fornecedor de quarta parte que fornece infraestrutura crítica para o seu fornecedor de terceiros falhar, isso pode ter um impacto direto na sua organização.

Finalmente, a gestão de contratos é um elemento importante da gestão de riscos de fornecedores de terceiros e quarta parte. Cláusulas contratuais devem ser usadas para definir expectativas claras, estabelecer responsabilidades e fornecer mecanismos para a gestão de riscos. As condições contratuais também devem incluir disposições para situações em que um fornecedor não está cumprindo suas obrigações ou apresenta um risco inaceitável.

As regulamentações podem ser um componente crucial para o desenvolvimento dos requisitos do programa de gestão de riscos de fornecedores de uma organização.

Aqui estão alguns exemplos relevantes lá de fora que poderiamos adorar como referência aqui::

1) Boletim OCC 2013-29 e Boletim OCC 2017-7:

Estas orientações emitidas pelo OCC dos EUA enfocam a gestão de riscos de terceiros e estabelecem expectativas para os bancos na supervisão de suas relações de terceiros.

2) FED SR 13-19 / CA 13-21:

Este é um guia da Reserva Federal dos EUA que estabelece expectativas de supervisão para as organizações na gestão de seus fornecedores de terceiros.

3) Orientação interinstitucional (OCC, FRB, FDIC) sobre a gestão do risco de terceiros:

Esta orientação fornece um quadro de referência útil para a gestão de riscos de fornecedores de terceiros, abrangendo áreas como a diligência prévia, o monitoramento contínuo e a gestão contratual.

4) Payment Card Industry Data Security Standard (PCI DSS):

Este é um padrão global que estabelece requisitos para a segurança dos dados do titular do cartão. Os fornecedores que processam, armazenam ou transmitem esses dados devem cumprir o PCI DSS.

5) California Consumer Privacy Act (CCPA) e General Data Protection Regulation (GDPR):

Estes regulamentos estabelecem requisitos rigorosos para a proteção dos dados pessoais dos consumidores. As instituições financeiras devem garantir que seus fornecedores estão em conformidade com estas regulamentações, caso contrário, elas podem ser responsabilizadas por violações.

Para terminar, apenas lembrando de tudo que abordamos acima, a gestão de riscos de fornecedores de terceiros é uma parte essencial do gerenciamento de riscos para instituições financeiras. Ao entender e implementar efetivamente as etapas do processo, desde a prospecção e avaliação até o monitoramento contínuo e desligamento, as instituições financeiras podem minimizar os riscos associados a esses fornecedores e garantir a continuidade dos negócios.

As opiniões dos autores convidados da nossa comunidade são independentes e não necessariamente representam a opinião da Okai.

Autor

Foto de perfil de Luiz Henrique Lobo

Luiz Henrique Lobo

Membro Independente de Conselhos | Comitê de Riscos da Caixa e de Auditoria da BR Partners | Consultor e Palestrante