Um banco global faz parceria com a Protiviti para administrar o risco de terceiros

Comite de crise
Um banco global faz parceria com a Protiviti para administrar o risco de terceiros

Mudança solicitada

Transformar o programa de gerenciamento de riscos de terceiros (third-party risk management, ou TPRM) do banco e identificar oportunidades de aprimoramento.

Mudança prevista

 Desenvolver e implementar um programa de TPRM automatizado, incluindo modelo operacional, políticas, estruturas e procedimentos, assim como a tecnologia que o torna possível.

Mudança realizada 

Melhoria e simplificação dos processos em toda a função de gerenciamento de terceiros que oferecem informações mais detalhadas sobre o desempenho, o risco e compliance.

 

Depois da crise financeira, os reguladores globais deram mais atenção às maneiras como as instituições financeiras usam terceiros para levar mercadorias e serviços ao mercado. No final de 2013, o Sistema de Reserva Federal dos Estados Unidos (Federal Reserve Board) emitiu suas “Orientações de Gerenciamento do Risco de Terceirização” (Guidance on Managing Outsourcing Risk), que definiu como os bancos devem administrar suas relações com prestadores de serviços, fornecedores, afiliadas, joint-ventures e outras entidades relacionadas em vários domínios de risco. O Gabinete do Controlador da Moeda dos Estados Unidos (Office of the Comptroller of the Currency) emitiu orientações semelhantes, enfatizando a necessidade de que os bancos façam um gerenciamento de riscos eficaz, independentemente de as atividades serem realizadas internamente ou por meio de terceiros.

Com o maior escrutínio e o aumento das expectativas, um banco global contratou a Protiviti para transformar seu programa de gerenciamento de riscos de terceiros (TPRM). Em particular, pediu que a Protiviti se concentrasse em desenvolver melhorias que, além de atender às expectativas regulatórias, também se integrassem com seus processos de compras e contratação de ponta a ponta.

Trabalhando junto com o Diretor de Riscos Não Financeiros e a equipe de TPRM, a Protiviti tentou reforçar os processos de TPRM em toda a organização. A equipe deu ênfase particular a identificar oportunidades em que a tecnologia pudesse contribuir para a eficiência dos processos de ponta a ponta e para a interação e o engajamento das partes interessadas dentro da organização. O engajamento exigiu percepções e a colaboração com as principais partes interessadas nas funções de compras, conformidade, jurídico, segurança da informação, gerenciamento da continuidade dos negócios e linha de negócios.

Início: análise de lacunas e desenvolvimento da estrutura de gerenciamento de riscos de terceiros

Durante a primeira etapa do projeto plurianual, a Protiviti avaliou o programa de TPRM existente e a execução dele, realizando uma análise de lacunas para identificar as oportunidades de melhoria. A Protiviti também ofereceu orientações sobre a estratégia, a estrutura e os processos de TPRM que enfatizaram os papéis dos proprietários dos fornecedores (a primeira linha de defesa), bem como de uma função centralizada que trabalha com os fornecedores e a empresa para promover a padronização, a eficiência e a visibilidade em toda a organização (a segunda linha de defesa).

Na etapa seguinte, a Protiviti elaborou um programa de TPRM que abrangeu todo o ciclo de vida da função, incluindo o planejamento e a due diligence necessários para a seleção, contratação, monitoramento e desligamento de terceiros. A equipe desenvolveu uma estrutura, políticas e procedimentos para lidar com todos os domínios de risco possíveis que poderiam resultar de contratos de terceirização e com terceiros, incluindo conformidade, concentração, reputação, país, operacional, jurídico, estratégico e financeiro, conforme destacado nas orientações regulatórias.

Essa fase também incluiu o desenvolvimento de um roteiro tecnológico e de um plano de implementação para o banco. Especificamente, a Protiviti e as principais partes interessadas lidaram com os requisitos técnicos e de negócios necessários para dar suporte ao programa de TPRM; também avaliaram os produtos do mercado que correspondiam às necessidades atuais do banco, bem com aqueles que serão necessários conforme o programa evolui. A Protiviti criou e implementou uma solução tecnológica provisória enquanto trabalhava com o banco para selecionar e implementar uma solução a longo prazo.

Design e implementação da solução

A Protiviti apoiou o esforço do banco para selecionar e implementar uma solução de TPRM totalmente automatizada que pudesse embasar os processos atuais e se integrar com os sistemas existentes de compras, financeiros e GRC. Além de fornecer orientação e suporte para ajudar a administrar o projeto, os componentes importantes dessa fase incluíram suporte à limpeza de dados e migração de contratos e informações de perfil dos fornecedores, assim como esforços de treinamento e gerenciamento de mudanças em toda a organização.

Juntos, o banco e a Protiviti desenvolveram os requisitos técnicos e de negócios, com informações do setor e do mercado entregues por ambos os lados, para dar suporte aos processos de seleção de tecnologias de TPRM. A Protiviti liderou o escritório de gerenciamento de projetos (project management office, ou PMO) que supervisionou todo o esforço. Isso incluiu plano, prazo, escopo e design, programação, recursos, gerenciamento de riscos e gerenciamento de mudanças e comunicação. A equipe também coordenou e documentou políticas, processos, regras de negócios, um modelo de dados e um dicionário, além de outros requisitos de design em todos os grupos de partes interessadas.

Uma equipe especializada da Protiviti liderou o esforço de desenvolvimento do software de TPRM, desde a criação de modelos de dados e da metodologia de pontuação de riscos até a definição das funções dos usuários e o estabelecimento de alertas e notificações. Além de atualizar as políticas referentes à estrutura existente de TPRM, a equipe documentou procedimentos de ponta a ponta e desenvolveu guias do usuário. Por fim, a Protiviti realizou testes de aceitação do usuário, assim como avaliações de integração e desempenho, organizou treinamentos e liderou a limpeza e a migração dos contratos de fornecedores existentes e outras informações.

Benefícios oferecidos

A função de TPRM estabelecida por esse esforço continua gerando benefícios para o banco após a implementação. Os benefícios imediatos incluem o seguinte:

  • Uma metodologia aprimorada de avaliação de riscos e a tecnologia de apoio, estando as duas em conformidade com as expectativas regulatórias
  • Modelos de monitoramento e protocolos de gerenciamento de problemas atualizados
  • Suporte para a transição de metodologias de avaliação para a equipe de segurança da informação
  • Maior integridade dos dados em vários grupos de partes interessadas 
  • Redução dos prazos de due diligence em decorrência das eficiências de processo obtidas por meio das integrações do sistema
  • Relatórios e controles de ponta a ponta aprimorados referentes ao processo de TPRM
  • Além disso, a base e a estrutura para práticas sustentáveis de TPRM aumentaram a capacidade do banco de identificar oportunidades para consolidar os gastos e utilizar melhor a base de fornecedores. Em última análise, isso poderia levar a reduções de custo e melhoria no desempenho geral de TPRM e na entrega de fornecedores.

Relações com terceiros no setor financeiro tornaram-se norma hoje em dia, graças à crescente demanda por digitalização e conveniência para o cliente. No entanto, regimes regulatórios complicados, sistemas herdados e funções profissionais pouco claras podem paralisar até mesmo os maiores bancos no momento de lidar com ineficiências em processos e pontos fracos de conformidade de terceiros. Evidentemente, atualizar sistemas, operações, processos e funcionários com o objetivo de cumprir regulamentos de segurança e gerenciamento de riscos em diversas jurisdições pode ser difícil e, com certeza, demorado. Trabalhando com um parceiro experiente e seguindo um roteiro cuidadoso para identificar e fechar lacunas, bem como criar soluções simplificadas e automatizadas para atender às necessidades de conformidade, os bancos são capazes de lançar um projeto de TPRM de sucesso, mesmo nas situações mais complicadas.

Resumo dos principais benefícios

  • Metodologia aprimorada de avaliação de riscos em conformidade com as expectativas regulatórias
  • Melhor monitoramento e gerenciamento de problemas
  • Maior integridade dos dados
  • Processo de due diligence mais eficiente
  • Aprimoramento dos controles e relatórios

     
Clique here para acessar todas as séries