[ARTIGO] Análise de Fornecedores
A Empresa Corporation começou o dia com um telefonema inusitado: o time de suporte técnico contratado por ela notou-se um volume anormalmente alto de tráfego em um dos aplicativos da Empresa Corp durante a rotina de monitoramento de rede – um sinal claro de um possível incidente de segurança. Ao questionar o técnico de suporte sobre como poderiam lidar com essa situação veio a primeira falha: o técnico era um estagiário, e os dois funcionários capazes de lidar com uma situação deste nível estavam de férias.
O chefe da equipe convocou uma reunião de emergência. Determinado a resolver o problema rapidamente, ligou para a empresa de software responsável pelo desenvolvimento do aplicativo – e então, veio a segunda falha: a empresa havia lançado uma nova versão do app na noite anterior sem submeter o código a um scan de vulnerabilidades, e o ataque estava explorando esta falha de segurança através da injeção de código malicioso. Quando perguntados se iriam acionar os procedimentos de correção emergencial, o responsável havia dito que não possuíam uma Política sobre o tema, nem uma previsão de correção.
Com a pressão aumentando, a empresa decidiu retirar o aplicativo do ar, mesmo isso significando prejuízos financeiros. Naquele dia, ela aprendeu sobre a importância da análise de fornecedores.
A análise de fornecedores visa garantir a segurança da informação, a qualidade de produtos e serviços prestados, e a conformidade com leis e padrões regulatórios. Ela é fundamental para mitigar os riscos potenciais de terceiros e trazer maior confiança entre as partes envolvidas. A ISO/IEC 27001:2022, que define os requisitos para um Sistema de Gestão da Segurança da Informação (SGSI), e a ISO/IEC 27002, fornece diretrizes para práticas de segurança da informação e oferecem orientações valiosas para a análise de fornecedores. Essas normas sugerem que as organizações devam desenvolver critérios claros para avaliar e selecionar fornecedores, levando em consideração fatores como a segurança da informação, a qualidade dos produtos e serviços, a capacidade de entrega e o histórico de conformidade. Também a ISO 9001, que estabelece os requisitos para um Sistema de Gestão da Qualidade (SGQ), enfatiza a importância de monitorar e avaliar o desempenho dos fornecedores para garantir a conformidade com os requisitos especificados pela organização. Isso inclui a realização de auditorias periódicas e a análise de indicadores de desempenho, como qualidade, prazos de entrega e satisfação do cliente. Isso requer envolver vários setores da empresa, como a parte comercial, a área de qualidade, logística, segurança etc.
Mas, como isso funciona na prática? As empresas realizam uma avaliação dos fornecedores por meio de questionários de autoavaliação ou de auditorias. Junto aos questionários, costumam ser solicitadas evidências para análise de documentos, atestando os controles contidos na metodologia da empresa. Caso um fornecedor não atenda aos requisitos de maneira satisfatória, é possível solicitar um plano de ação para que este esteja em conformidade com os padrões exigidos pela empresa.
Algumas empresas possuem no seu processo de análise de fornecedores uma cláusula de exclusão condicionada a uma certificação – por exemplo, se o fornecedor possuir uma certificação ISO/IEC 27001, ele não precisa preencher os questionários relacionados à segurança da informação, ou em alguns casos, o questionário é reduzido.
Após a contratação dos fornecedores, é essencial monitorar continuamente seu desempenho para garantir que atendam aos requisitos e expectativas da organização. Isso pode envolver a realização de auditorias periódicas, análise de indicadores de desempenho, como qualidade, prazos de entrega e satisfação do cliente, e revisão dos contratos para garantir que estejam sendo cumpridos. Em caso de descumprimento do contrato, prazos de entrega e insatisfação com o serviço prestado, a empresa pode deixar de renovar o contrato com o fornecedor.
Recomenda-se atualizar os processos de avaliação periodicamente, conforme essa área ganha maturidade, novos riscos são identificados e novas práticas e tecnologias são incorporadas. As organizações devem estar preparadas para se adaptarem a novos desafios e oportunidades.
A implementação eficaz da análise de fornecedores traz uma série de benefícios para as organizações, incluindo a redução de riscos relacionados à segurança da informação, interrupções no fornecimento e não conformidade regulatória; melhoria da qualidade dos produtos e serviços recebidos; maior eficiência operacional e redução de custos; fortalecimento dos relacionamentos com fornecedores; melhoria da imagem reputacional e confiança dos clientes e outras partes interessadas.