0
0
As equipes de gerenciamento de riscos corporativos (ERM) estão lutando para mitigar efetivamente o risco de terceiros em um ambiente de negócios cada vez mais interconectado, de acordo com o Gartner.
ERM se esforça para elevar as questões certas
Em uma pesquisa do Gartner com 100 membros do comitê executivo de risco em setembro de 2022, 84% dos entrevistados disseram que “erros” de risco de terceiros resultaram em interrupções nas operações.
“A maioria das organizações viu um aumento no número de terceiros sob contrato nos últimos anos”, disse Chris Matlock , vice-presidente de pesquisa da prática de conformidade e risco jurídico do Gartner. “Além disso, a maioria das organizações também está usando terceiros para serviços novos e tornou-se mais dependente deles para conduzir suas operações. Embora o aumento do uso de terceiros possa melhorar as operações de negócios de várias maneiras, também introduz riscos que estão causando impactos notáveis nas organizações.”
“O envolvimento da ERM em atividades de gerenciamento de risco de terceiros aumentou desde 2016”, disse Matlock. “No entanto, apenas fazer mais não é suficiente porque as características do risco de terceiros prejudicam a eficácia de uma configuração típica de ERM.”
A ERM está lutando para elevar os problemas certos porque geralmente falha em limitar seu foco a um conjunto gerenciável de problemas. Os líderes de ERM não estão definindo claramente quais questões devem ser tratadas primeiro, e normalmente não estão preparando bem seu público para tomar medidas tangíveis nas questões que surgem.
Gerenciando o risco de terceiros em uma grande organização
Existem três aspectos que o ERM deve fazer de maneira diferente para melhorar a eficácia no gerenciamento de riscos de terceiros em uma grande organização, uma abordagem que o Gartner chama de gerenciamento de riscos de terceiros corporativos.
Essencialmente, esta é uma abordagem para ajudar as equipes de ERM a gerenciar a sobrecarga de informações que está sendo criada pelo aumento exponencial no volume de risco e na variabilidade provocada pelo rápido crescimento do uso de terceiros.
1. Os riscos de terceiros tendem a ser de alto volume , heterogêneos por natureza e variam muito em importância nos negócios. É difícil, portanto, identificar e priorizar o que mais importa. A ERM deve primeiro isolar e combinar apenas as entradas que mais importam no nível da empresa, permitindo que se concentrem na agregação das entradas mais importantes e na abordagem dos riscos corporativos de terceiros mais críticos.
2. A ERM deve trabalhar para permitir o alinhamento entre um conjunto diversificado de proprietários de riscos para obter uma visão holística e criar oportunidades para que eles trabalhem em direção a um consenso. Na prática, isso significa facilitar a parceria de pensamento direta entre os coproprietários do risco, com a ERM agregando experiência e alinhando ações, em oposição à atuação da ERM como coordenadora central de todas as informações e mitigação de riscos.
3. A função da ERM como observadora de tendências também é prejudicada pela expansão do cenário de terceiros porque os problemas potenciais são muito numerosos e os dados disponíveis geralmente são pontuais e defasados. Mais uma vez, a solução é reduzir o escopo do que está sendo monitorado, limitando o foco aos problemas emergentes mais críticos e rastreando-os proativamente com um conjunto de indicadores prospectivos facilmente monitorados que permitem que a ERM identifique com segurança as tendências críticas de riscos corporativos.
“Com a elevada exposição a riscos de terceiros e uma infinidade de ameaças no horizonte, os comitês de risco esperam que a ERM desempenhe um papel maior no gerenciamento de riscos de terceiros”, disse Matlock. “No entanto, a postura tradicional de ERM está lutando para fornecer uma visão concisa e acionável do risco de terceiros no nível corporativo. É por isso que o ERM deve se concentrar no gerenciamento de riscos corporativos de terceiros, que envolve a definição de prioridades em nível corporativo, permitindo o alinhamento interfuncional e monitorando indicadores prospectivos.
FONTE: HELPNET SECURITY