Cibersegurança e ESG: A nova fronteira no controle de riscos terceiros

A integração de critérios ESG no controle de riscos de empresas terceiras tornou-se prioridade crescente, principalmente para companhias que querem estar à frente dos ventos de mudança

As organizações estão cada vez mais conscientes de que precisam estender seus compromissos de governança ambiental, social e corporativa (ESG) à sua cadeia de fornecedores e parceiros de negócios. Com isso, a integração de critérios ESG no controle de riscos de empresas terceiras tornou-se prioridade crescente, principalmente para companhias que querem estar à frente dos ventos de mudança.

De acordo com o estudo “2023 EY Global Third-Party Risk Management Survey”, realizado pela EY em colaboração com a Oxford Economics, 54% das organizações já incluem riscos ESG em seus relatórios de inventário de riscos. As principais prioridades ESG enfrentadas pelos programas de gerenciamento de riscos de terceiros (TPRM) das organizações são:

• Conformidade com regulamentações locais – 38%
• Responsabilidade corporativa – 38%
• Expectativas ou requisitos das partes interessadas – 35%
• Diversidade, equidade e inclusão – 33%
• Consideração do risco reputacional com clientes – 31%

Desafios e barreiras na integração de ESG para terceiros

Apesar dos avanços na integração de ESG no TPRM, muitas organizações se deparam com dificuldades que podem testar sua disposição. Pelo menos 66% das empresas destacaram a falta de coordenação entre stakeholders internos e a gestão de riscos terceiros. Para dar conta dessa barreira, a solução está no uso de ferramentas tecnológicas, segundo a EY.

CADASTRE-SE GRÁTIS PARA ACESSAR 5 CONTEÚDOS MENSAIS

Já recebe a newsletter? Ative seu acesso

Ao cadastrar-se você declara que está de acordo
com nossos Termos de Uso e Privacidade.

Cadastrar

• Automação: Planejada por 39% das organizações para otimizar a gestão de riscos ESG.
• Análise de dados: Adotada por 34% para obter insights mais profundos sobre o desempenho de terceiros.
• Dados de terceiros: 24% buscam provedores de dados externos.
• Inteligência Artificial e Aprendizado de Máquina: 21% das empresas pretendem incorporar essas tecnologias até 2025.

Estratégias para integrar ESG no controle de riscos de terceiros

Para integrar efetivamente os critérios ESG no controle de riscos de empresas terceiras, as organizações estão adotando diversas estratégias:

1. Aumento da diversidade de fornecedores: 45% das empresas estão aumentando a diversidade de seus fornecedores para atender às metas ESG, como por exemplo, priorizando negócios de propriedade de minorias.

2. Inclusão de cláusulas contratuais ESG: 32% das organizações incluem cláusulas em seus contratos exigindo que terceiros cumpram as políticas ou regulamentações ESG da empresa.

3. Definição de critérios de exclusão: 23% das empresas afirmam que deixariam de trabalhar com um fornecedor-chave se ele não atendesse aos requisitos ESG.

4. Estabelecimento de metas específicas: 16% das organizações têm metas específicas para reduzir as emissões de sua cadeia de suprimentos, aplicadas em seus contratos.

5. Definição de gastos com fornecedores diversos: 7% das empresas estabeleceram uma quantidade específica de gastos gerenciados a ser utilizada com fornecedores oficialmente certificados como diversos.

A importância da segurança cibernética na integração ESG

O estudo da EY destaca que segurança digital é o domínio de risco mais citado nos relatórios de inventário de riscos das organizações, com 61% das empresas considerando esse aspecto. Estudos anteriores apontaram que 35% do valor de uma empresa é referente à sua reputação. Outras pesquisas indicam que companhias já perderam até 20% no valor das ações após ataques cibernéticos. 

Quando se olha para a cibersegurança, fica evidente que enfrentamos hoje um cenário muito mais complexo. A proliferação e crescente de regulamentações que endereçam a segurança cibernética ampliam os potenciais impactos e a gestão do Chief Information Technology Officer (CISO). 

Diante disso, o escopo do CISO vem se transformando e assumindo novos papeis dentro das organizações. Além de garantir que a empresa esteja de acordo com regulações vigentes, conforme sua área e país de atuação – o que pode incluir LGPD (Brasil), GDPR (União Europeia), EO 14028 (EUA) e a recente Cyber Trust Mark, entre outras – o CISO precisa se preocupar com o treinamento de funcionários em práticas seguras, análise de vulnerabilidades de parceiros, desenvolvimento de habilidades dentro da organização e resiliência da companhia e de terceiros. Aproximadamente 51% das organizações mantêm planos de resiliência integrados para terceiros, enquanto 45% realizam testes de cenários e planos de contingência, segundo a pesquisa da EY. 

Para reduzir o risco de ataques, as empresas devem considerar os seguintes pontos:

1. Avaliação abrangente de riscos cibernéticos: As organizações devem realizar avaliações detalhadas dos riscos cibernéticos associados a seus terceiros, considerando aspectos como proteção de dados, privacidade e resiliência digital.

2. Estabelecimento de padrões mínimos de segurança: É fundamental definir requisitos mínimos de segurança cibernética para terceiros, alinhados com as melhores práticas do setor e regulamentações relevantes.

3. Monitoramento contínuo: Implementar processos de monitoramento contínuo da postura de segurança cibernética dos terceiros é essencial para identificar e mitigar riscos em tempo hábil.

4. Capacitação e conscientização: Investir na capacitação e conscientização dos terceiros sobre segurança cibernética pode ajudar a fortalecer a resiliência geral da cadeia de suprimentos.

5. Integração com outras áreas de risco ESG: A segurança cibernética deve ser considerada em conjunto com outros aspectos ESG, como governança de dados e proteção da privacidade.

Melhores práticas para ESG em TPRM

Empresas com programas maduros de TPRM adotam práticas que servem como modelo para integração de ESG. Entre elas estão:

1. Centralização da Gestão: Programas centralizados permitem uma visão holística dos riscos e a priorização de ações mitigadoras.
2. Monitoramento Contínuo: O uso de tecnologia para monitorar terceiros em tempo real garante uma abordagem proativa.
3. Governança e Colaboração: Equipes interdisciplinares são essenciais para o sucesso de um programa abrangente de ESG e TPRM.
4. Padronização de Processos: A aplicação de normas consistentes em diferentes jurisdições melhora a conformidade e a eficiência.

As organizações que adotarem uma abordagem proativa na integração de princípios e práticas ESG internamente e para terceiros, considerando aspectos como segurança cibernética, diversidade de fornecedores e conformidade regulatória, estarão melhor posicionadas para aproveitar as oportunidades que surgem em um cenário de mudança constante. Comunicar a importância dos programas e ações é, por exemplo, uma maneira de associar a companhia a uma visão que vai muito além dos negócios.

• inteligência artificial
• ESG
• automação
• cibersegurança
• Proteção de dados
• dados
• ciberinteligência
• segurança cibernética