Uma das maiores consequências da pandemia COVID-19 na vida profissional, foi o boom do trabalho remoto. Este novo paradigma de trabalho à distância impacta evidentemente a relação entre as organizações e os seus colaboradores, mas também o funcionamento interno da mesma e a sua relação com os fornecedores de serviços. Por consequência assistimos a um aceleramento na transformação digital e na adesão a serviços cloud, refletindo a procura de soluções que permitam a continuidade do negócio, no cenário em que vivemos.
Estamos perante uma transformação considerável na forma como as organizações funcionam e se relacionam entre si, potenciando o aumentar do número de fornecedores com que trabalham e impactando diretamente o risco associado a estas relações. Como têm estes parceiros acesso às suas ferramentas de trabalho? Como utilizam essas mesmas ferramentas para aceder aos ativos da organização e realizar as funções a que se propuseram? Que medidas de segurança terão estes fornecedores aplicado para colmatar a mudança de paradigma associada ao teletrabalho? Podemos confiar que tudo está conforme? São algumas questões que responsáveis pelo compliance e pela segurança das instituições financeiras a nível global se colocam neste momento.
A externalização de componentes e tarefas das organizações em Portugal, e no mundo, é cada vez mais comum, com claras vantagens ao nível da eficiência e potencial poupança de custos. Embora estas sejam óbvias, existem também alguns pontos a ter em mente no estabelecimento deste tipo de relações comerciais, visto que representam riscos complexos e em constante evolução. Para maximizar o proveito retirado destas relações, deve existir um processo estruturado, eficaz e eficiente de gestão do risco de fornecedores.
Num inquérito que incluiu cerca de 250 organizações parceiras da EY, relativo ao ano fiscal 2019-2020, concluiu-se que 38% das organizações financeiras inquiridas foram afetadas por uma fuga de dados originada num fornecedor de serviços. Mais significativamente, 52% destas organizações sofreram algum tipo de interrupção nos seus serviços causado por terceiras partes. São números muito significativos, que demonstram a importância de uma abordagem ponderada e estruturada a este tema.
É essencial que as organizações disponham de antemão de processos e estruturas de governação eficazes, que exista uma visão global do ciclo de vida dos fornecedores e que as responsabilidades se encontrem bem definidas e sigam as políticas e padrões internos. O risco inerente a estas relações deve ser avaliado e reavaliado periodicamente, ao longo de cada relação comercial estabelecida.
Muito embora este tema possa estar endereçado a nível contratual, a não gestão destes riscos pode ter impactos severos, tanto na capacidade de o negócio continuar a atuar normalmente, como até impactos legais e reputacionais, sendo a privacidade, a cibersegurança e o compliance áreas cada vez mais escrutinadas, quer pelas entidades reguladoras do setor financeiro, quer pelos próprios consumidores.
Por tudo isto, é crescentemente fundamental que as instituições financeiras tenham em conta a forma como as organizações com as quais se relacionam, a todos os níveis, usam, arquivam e protegem os seus dados e como acedem aos seus sistemas, da mesma forma que o fazem no que toca a acessos físicos aos seus espaços, e que consigam gerir de forma sustentável as suas operações, com especial atenção nos serviços críticos para o seu negócio.