Em cenários de intensa competição globalizada, produtos com ciclo de vida cada vez menores e expectativa crescente por qualidade a preços acessíveis, a integração e terceirização de processos e sistemas para fornecedores especializados que possam trazer ganhos de qualidade e produtividade, tornou-se uma importante fonte de competitividade para as organizações. Este cenário e é ainda mais relevante no complexo ambiente de TI onde a necessidade de terceiros é ainda maior.

Com a dependência cada vez maior de fornecedores dispersos em vários sistemas e processos de negócio, as empresas deparam-se com dificuldades na gestão das suas informações e dos relacionamentos com seus fornecedores.AAEAAQAAAAAAAASzAAAAJDg0NjAyYjMyLWYxMjgtNGUwMy04NTBhLTk1MWE1ZDE3N2E5Nw

A Gestão de Riscos de Fornecedores (Vendor Risk Management – VRM) é um processo preventivo e abrangente para identificação e mitigação de potenciais responsabilizações legais e incertezas aos negócios resultantes da terceirização de processos, serviços ou mesmo a aquisição de equipamentos e contratação de consultorias tanto pela área de TI quanto por qualquer outro departamento da organização. Ela permite a organização simular ou imaginar cenários de possíveis perdas e facilita a criação de processos e rotinas para evitá-las.

Ao criar processos para verificar se provedores de serviços e fornecedores de TI não estão criando riscos inaceitáveis que possam causam uma disrupção nos processos de negócio ou um impacto negativo para a organização, a Gestão de Riscos de Fornecedores permite que gestões destes contratos acessem, monitorem e gerenciem a exposição à riscos frutos destes serviços e do acesso dos fornecedores à dados sensíveis e confidenciais da organização e de seus clientes.

Quando a terceirização de um processo de negócio implica na transmissão, processamento ou armazenamento de informações sensíveis nas redes e sistemas do fornecedor, a ISO 27001/2, a Sarbanes-Oxley Act (SOX), Payment Card Industry Data Security Standard (PCI DSS), o Cibersecurity Framework (NIST) e o Health Information Portability and Accountability Act (HIPAA) exigem que as políticas de gestão de riscos sejam estendidas a estes fornecedores, consultores, terceirizados e contratados.

Um programa de Gestão de Riscos de Fornecedores precisa incluir:

  • Um contrato que contemple as políticas de Gestão de Riscos de Fornecedores da organização.
  • O monitoramento constante da conformidade dos fornecedores no atingimento das exigências contratuais.
  • Regras claras definindo que fornecedores e quais os sistemas e pessoas de suas esquipes podem ter acesso a que tipo de informação.
  • Clausulas que definam quais as exigências regulatórias do segmento de atuação de sua organização e uma metodologia para verificação destas conformidades.

A equipe de compras está diretamente ligada a este trabalho, porém não é exclusividade dela fazer este gerenciamento. Também se envolvem financeiro, controladoria, jurídico e outros departamentos.

Além de garantir a conformidade com normas, políticas e legislações, sua organização ainda pode ser beneficidada ao competir por fornecer serviços e produtos a grande corporações. Em sua maioria eslas possuem políticas de contratação de fornecedores bem rígidas, também conhecidas como: No compliance, no contract (sem conformidade, sem contrato, em tradução livre).

A maneira mais comum de avaliação de fornecedores e parceiros é através de com questionários e pesquisas qualitativas, complementadas por relatórios de segurança e auditorias in loco. Porém, estes processos básicos de gestão de fornecedores acabam não atendendo aos requisitos exigidos por normas, políticas, frameworks e legislações, pelas seguintes razões:

  • Processos manuais não são escaláveis e, na maioria dos casos de médias e grandes empresas são necessárias centenas ou milhares de avaliações.
  • Formulários, planilhas e e-mails não são padronizados e possuem diversas restrições além de estarem sujeitos a erros de digitação e possuem pouco controle de versão e acesso;
  • Auditores demanda avaliações diferentes dos fornecedores, como SOx e PCI DSS.
  • Processos frágeis e com pouco controle cujo risco é ainda maior se levarmos em conta o grau de confidencialidade das informações que constam nos formulários e e-mails utilizados na avaliação de riscos trocadas entre duas empresas.

Quando utilizar uma plataforma para automação da Gestão de Riscos de Fornecedores?

  • Você tem centenas ou milhares de fabricantes e fornecedores que exercem atividades críticas para os negócios?
  • Você gerencia a totalidade ou grande parte de suas atividades de Gestão de Riscos de Fornecedores utilizando e-mails e planilhas?
  • A Gestão de Riscos de Fornecedores demora muito tempo?
  • Seus fornecedores têm acesso a informações pessoais e / ou dados sensíveis?
  • Você tem problemas para relatar os resultados e descobertas de suas avaliações de risco, rastreá-las e armazená-las em um só local?
  • Você consegue mapear de forma eficaz seus fornecedores, aplicações e os serviços mais críticos que suportam o negócio?

Se você respondeu sim a qualquer uma destas perguntas, considere automatizar a Gestão de Riscos de Fornecedores.

Políticas e regulamentos internos, tais como SIG (Standard Information Gathering), SOX, GLBA, HIPAA e PCI DSS frequentemente expandem os requisitos operacionais para os fornecedores, terceiros e consultores. A automação é essencial para gerir de forma eficaz grandes volumes de dados. Acompanhar atividades digitalmente é fundamental para reduzir o risco de não-conformidade e melhorar a sua postura geral de riscos corporativos.

Como a Módulo pode auxiliar?

As soluções da Módulo de Gestão de Risco de Fornecedores permitem às organizações expandir de forma segura a sua extensa rede de fornecedores terceirizados e economizar tempo no processo.

Usando nossa plataforma de software de Governança, Riscos e Conformidades (GRC), o Módulo Risk Manager, clientes realizam avaliações de risco dos fornecedores de forma mais eficiente e eficaz, automatizando aspectos-chave, tais como priorizar planos de tratamento, mapeamento de requisitos e emissão de relatórios.

AAEAAQAAAAAAAAUPAAAAJGYyMDE5ODU0LTJkNzAtNDMwMy1iY2VlLWVkOGNmODhlNzA4Nw

  • Gerenciar centenas ou milhares de fornecedores
  • Monitorar o fluxo de trabalho e do progresso
  • Consolidar os dados de risco
  • Customizar relatórios para obter uma imagem fiel do seu perfil de risco do fornecedor

Usando nosso software, você pode classificar com precisão requisitos de avaliação de fornecedores, priorizar a remediação de riscos de alta prioridade, relatórios de riscos do fornecedor e resultados de conformidade através das linhas de negócios.

AAEAAQAAAAAAAAOxAAAAJGNhYmQzODI2LWExMjYtNDI5NS04YmY3LTU4MmUyOWNjMjc1Ng

Alguns dos principais benefícios incluem a capacidade de:

  • Aderir e aplicar as melhores práticas da indústria
  • Automatizar os processos end-to-end de Gestão de Riscos de Terceiros
  • Escala para gerenciar centenas de centenas de milhares de vendedores e fornecedores
  • Monitorar o fluxo e o progresso para estar à frente de problemas em potencial
  • Consolidar dados de risco por departamento e tipo de fornecedor
  • Gerar relatório de resultados da avaliação de risco e conformidade

AAEAAQAAAAAAAAQRAAAAJDc4Y2NhYzlkLTQyN2YtNGMzZC1iNmFiLTNjNTNmNTdlZGYxMw

O Módulo Risk Manager, é capaz de reduzir o tempo necessário para a realização de avaliações de risco em 50%. A solução de Gestão de Riscos de Fornecedores automatiza o processo de coleta de dados necessários para gerar relatórios. Esta atividade normalmente lenta e trabalhosa é rapidamente executada pela ferramenta de software, deixando maior tempo para fazer o trabalho muito importante, que é interpretar os dados.

webinar

Carlos Krause, Diretor Internacional de Serviços da Modulo Security Solutions, irá compartilhar com você as lições que os especialistas da Módulo aprenderam nos últimos anos ao implementar programas e soluções de Gestão de Riscos de Fornecedores de TI, além de cases de clientes que conseguiram implementar estes processos de forma integrada c/ seus programas de Gestão de Riscos de TI e Segurança da Informação.

Webinar: Gestão de Riscos de Fornecedores – Lições aprendidas nos campos de batalha

 

Assista o webinar

Compartilhe conhecimentoShare on LinkedInShare on FacebookTweet about this on TwitterShare on Google+
http://segurancadainformacao.modulo.com.br/wp-content/uploads/2015/10/webinar.pnghttp://segurancadainformacao.modulo.com.br/wp-content/uploads/2015/10/webinar.pngMódulo SecurityWebinar
Em cenários de intensa competição globalizada, produtos com ciclo de vida cada vez menores e expectativa crescente por qualidade a preços acessíveis, a integração e terceirização de processos e sistemas para fornecedores especializados que possam trazer ganhos de qualidade e produtividade, tornou-se uma importante fonte de competitividade para as...