Pesquisa do Gartner mostra que erros na gestão de riscos de terceiros prejudicam as organizações

As equipes de gerenciamento de riscos precisam adotar uma melhor abordagem para terceiros  

As Equipes de Gerenciamento de Riscos Corporativos (ERM – Enterprise Risk Management, em inglês) estão lutando para efetivamente tentar controlar as ameaças de terceiros em um ambiente de negócios cada vez mais interconectado. Segundo pesquisa global do Gartner, líder mundial em pesquisa e aconselhamento para empresas, 84% dos entrevistados disseram que ‘erros’ de riscos de terceiros resultaram em interrupções de operações. O Gartner define um ‘erro’ de risco de terceiros como incidentes que ocorreram uma ou mais vezes no período de um ano.  

“A maioria das organizações viu um aumento no número de terceiros sob contrato nos últimos anos”, afirma Chris Matlock, Vice-Presidente de Pesquisa da Prática de Compliance e Risco Legal do Gartner. “Além disso, a maioria das empresas também usa a terceirização para novos serviços e esse modelo tem se tornado presente. Embora essa abordagem melhore as operações de negócios de várias maneiras, também introduz problemas que estão causando impactos notáveis.” 

“O envolvimento das Equipes de Gerenciamento de Riscos Corporativos em atividades de gerenciamento de riscos de terceiros aumentou em todos os níveis desde 2016”, diz Matlock. “No entanto, apenas fazer mais não é suficiente porque as características desse contratempo prejudicam a eficácia de uma configuração típica de ERM.” 

As Equipes de Gerenciamento de Riscos Corporativos estão lutando para elevar os problemas certos, pois geralmente não conseguem limitar seu foco a um conjunto administrável de dificuldades. Além disso, líderes desse setor não definem claramente quais questões devem ser tratadas primeiro, assim como não preparam suas audiências para dar passos tangíveis nas questões que surgem. 

“Com a elevada exposição a riscos de terceiros e uma infinidade de ameaças iminentes, os comitês esperam que os times de ERM desempenhem um papel maior no gerenciamento”, afirma Matlock. “No entanto, essas equipes estão ainda adotando uma postura tradicional e lutando para fornecer uma visão concisa e acionável para suas organizações. É por isso que o ERM deve se concentrar nos assuntos prioritários, permitindo o alinhamento interfuncional e monitorando indicadores prospectivos. 

De acordo com o Gartner, existem três aspectos que o time ERM deve analisar para melhorar a eficácia no que o Gartner chama de Gerenciamento de Riscos de Terceiros Corporativos. Essencialmente, essa é uma conduta para ajudar as equipes de risco no gerenciamento da sobrecarga de informações que estão sendo criadas pelo aumento exponencial no volume e nas variáveis de ameaças, causados pelo rápido crescimento do uso por terceiros. São eles: 

1 – Os riscos de terceiros tendem a ser de alto volume, heterogêneos por natureza e variam muito em importância nos negócios. É difícil, portanto, identificar e priorizar o que mais importa. Os times de ERM devem primeiro isolar e combinar apenas as entradas que têm mais relevância para as empresas, permitindo que eles se concentrem na agregação das entradas mais significativas e na abordagem dos riscos corporativos mais críticos de terceiros. 

2 – A equipe de ERM deve trabalhar para permitir o alinhamento entre um conjunto diversificado de riscos para obter uma visão holística e criar oportunidades para trabalhar em direção ao consenso. Na prática, isso significa facilitar a parceria de pensamento direta entre os profissionais que atuam em riscos, agregando experiências e alinhando ações, em oposição à sua atuação de coordenadora central de todas as informações e dos planos de ação para mitigação de problemas. 

3 – O papel da equipe de ERM como observadora de tendências também é prejudicado pela expansão do cenário de terceiros porque os problemas potenciais são muito numerosos e os dados disponíveis geralmente são defasados. Mais uma vez, a solução é reduzir o escopo do que está sendo monitorado, limitando o foco aos problemas emergentes mais críticos e os monitorando proativamente com um conjunto de indicadores prospectivos que permitem a identificação com segurança de tendências críticas de riscos empresariais. 

Compartilhar