Qual é o papel da tecnologia no gerenciamento de riscos de terceiros?

É importante ter em mente a ISO 37.301, a mais recente a ser adotada, que indica que, em caso de uso de processos de terceiros ou terceirização de atividades, a empresa deve realizar uma due diligence eficaz para garantir padrões e compromissos. Agora, qual é a metodologia recomendada para ser implementada internamente para esse gerenciamento de riscos de terceiros? Ou seja, qual é o papel da tecnologia nesses processos? Porque, embora muitos departamentos tenham incorporado a tecnologia e isso ainda não seja contestado, o gerenciamento de terceiros ainda é realizado de forma muito manual, até mesmo por meio de planilhas do Excel. E levando em conta o volume, o risco envolvido e, mais ainda, levando em conta, em algumas organizações, a importância da cadeia de valor, da cadeia de suprimentos, da cadeia de distribuição, qual é a importância de incorporar a tecnologia nesses processos?

‍

A tecnologia hoje é uma aliada que não é algo agradável de se ter, é algo essencial. No entanto, a tecnologia sem metodologia gera um problema tecnológico, porque colocamos nosso caos em uma ferramenta tecnológica. O que se recomenda, antes de tudo, é entender muito bem e fazer um mapeamento muito consciente dos terceiros que nos expõem a riscos específicos, nesse caso, por exemplo, a corrupção. Então, posso ter milhares de fornecedores, mas os que podem gerar um problema de corrupção podem acabar sendo algumas centenas, ou cem, ou cinquenta. Depende de onde você está operando, depende do tipo de negócio que você tem, e isso tem de ser trabalhado com muita consciência, sem qualquer tipo de preconceito. E isso deve ser feito pelas pessoas certas, pessoas que saibam como fazê-lo, pessoas que entendam o que estão procurando, e não apenas mapeando terceiros porque são obrigados a fazê-lo ou porque um regulamento ou uma ISO exige isso. 

‍

Depois de identificar esses terceiros, tenho que fazer uma verificação minuciosa da maneira real como eles operam. A melhor maneira, nos casos de risco muito alto, é sentar com o terceiro, ter uma discussão franca e aberta e pedir que ele explique como funciona. Obviamente, não podemos aplicar esse esquema a mil fornecedores, mas podemos ir até um punhado de fornecedores de altíssimo risco, nos quais precisamos entender muito bem como eles operam, como são documentados e tudo isso, documentar, fazer um box true, entender quais são os pontos críticos, entender se eles têm contrato ou não, fazer benchmark e também realizar uma auditoria para ver se o que eles estão me cobrando está de acordo com os contratos, se há despesas que não estão incluídas, se estamos trabalhando, por exemplo, com algo que às vezes é comum, que é solicitar fundos adicionais para emergências que nunca são prestadas.

‍

Entenda que, por exemplo, se eu trabalhar com um fornecedor crítico em questões de corrupção, tenho que prestar atenção a todos os alertas, porque estou trabalhando em um esquema de risco muito alto. Talvez eu tenha que descontinuar, ou ter uma taxa fixa ou uma taxa pré-acordada. Há diferentes questões em que precisamos ter isso claramente mapeado, entendendo muito bem aonde queremos chegar e com uma ferramenta que nos ajude a identificá-los toda vez que eu for pagá-los, que estou pagando um fornecedor de alto risco. É fundamental ter mapeado que esse fornecedor já foi treinado, ter identificado na ferramenta que esse fornecedor, por exemplo, teve o registro cancelado, foi bloqueado e que ninguém pode reinseri-lo se a equipe de Compliance não estiver envolvida no registro.

‍

Há diferentes ferramentas e diferentes mecanismos que precisamos levar em conta. Não se trata apenas de uma simples pesquisa no Google, há toda uma metodologia e muito trabalho por trás disso. Acredito que, dentre os programas de conformidade, esse é um dos maiores trabalhos a serem realizados e um dos que exigem mais paciência. Porque, mais uma vez, é preciso contagiar a inércia e os terceiros, para que eles acompanhem o ritmo da empresa.

‍

Nos últimos anos, a tecnologia aplicada aos processos tem demonstrado enorme importância em muitas áreas, desde canais éticos, monitoramento ou supervisão, gerenciamento de riscos, treinamento e conscientização. Em um mundo em que metade do planeta está trabalhando telematicamente, e em que a modalidade continua, é extremamente importante implementar esse gerenciamento de riscos, pois a realidade nos mostrou que vivemos em um ambiente tão mutável que nosso mapa de riscos não pode mais ser atualizado a cada um ou dois anos, como acontecia antes.

‍

Com minha equipe, sempre falamos sobre um animal vivo, também por causa do tipo de negócio em que estamos. Fazer um mapeamento anual é fazer história, não somos pontuais. E você precisa ter mecanismos ágeis suficientes para poder responder aos negócios em tempo hábil. Portanto, é preciso fazer uma pesquisa e selecionar os processos críticos em que não é possível adormecer. Talvez existam processos que possam ser planejados a longo prazo e outros fornecedores que devam ser constantemente pesquisados.

‍

‍

‍