Por Agência EY – Atuar com empresas terceirizadas é importante para manter a competitividade e o crescimento no mundo corporativo. Mas trabalhar com terceirizadas adiciona riscos potenciais ao negócio, incluindo o cibernético, o regulatório e o de marca.
Pesquisa divulgada no fim do ano passado pela EY sobre Gestão de Riscos de Terceiros (TPRM – Third Party Risk Management) mostra que das 162 organizações entrevistadas, 40% dizem ter sofrido vazamento de dados causado por terceiros, sendo que metade já sofreu queda de sistemas.
“A prerrogativa da TPRM é mapear os riscos potenciais de terceiros (parceiros, fornecedores, prestadores de serviços) em todo o seu ciclo de vida, desde oon-boarding(começo da parceria)até o encerramento da relação de negócio. Mas este ainda é um tema em desenvolvimento, sobretudo em mercados emergentes como o Brasil”, explicaNilo Rocha, consultor da EY para gestão de terceiros.
A pesquisa – com participação de setores da indústria, incluindo serviços financeiros, bens de consumo e varejo, saúde, ciências da vida, mídia e entretenimento, tecnologia, energia e serviços, produtos industriais diversificados e governo e setor público, em vários países – aponta que58% dos casos abordadosimplementaram estruturas centralizadas, sendo que outros 38% possuem, pelo menos, algum tipo de função híbrida.
De acordo com Rocha, os dados mostram que as empresas estão cada vez mais cientes dos riscos relacionados a terceiros e têm se movimentado rumo à estruturação de um modelo que entendem ser suficiente para tratar este tema.
“É possível notar, se compararmos com a pesquisa de 2020, que o modelo centralizado cresceu 10% e que háuma tendência natural para a sua consolidação como a forma mais utilizada. Mas não há modelo certo ou errado, háaqueleque melhor se enquadra nomodus operandida empresa, além de estar alinhado a seu propósito e à sua visão.”
João Herculano, sócio-líder de Consultoria de Riscos de Tecnologia e Gestão de Riscos de Terceiros na EY, explica que o impacto da Covid-19 nas cadeias de suprimento e operações revelou lacunas e fragmentação na abordagem de algumas empresas à gestão de riscos de terceiros.
“Uma vez atenuada a crise imediata, as empresas devem reavaliar se uma instalação interna centralizada ou um fornecedor externo de serviços geridos são as soluções mais eficientes e eficazes.”
Para ele, as empresas precisam avaliar suas estratégias e planos de resiliência, incluindo a capacidade de operações offshore críticas e a capacidade de terceiros em apoiar funções importantes.
“Entre as funções que devem ser avaliadas e potencialmente reforçadas estão entrega e suporte de produtos, TI, recursos humanos, folha de pagamento, relatórios financeiros e cibersegurança. As empresas também devem estar atentas a riscos ocultos de terceiros, tais como riscos de concentração em torno do uso de aplicativos móveis por parte dos fornecedores para apoiar o trabalho remoto”, alerta.