Scorecard de Gestão de Risco de Fornecedores: critérios de avaliação para 2025

Aprenda a criar um scorecard de avaliação de fornecedores, automatizar questionários de garantia e detectar áreas de risco para a organização causadas por um fornecedor.

Steps to Create a Vendor Risk Management Scorecard by BSC Designer

A validação de fornecedores terceiros tornou-se parte integrante das estratégias de cibersegurança, aquisição, conformidade e cadeia de suprimentos. Anteriormente, discutimos as práticas gerais por trás do scorecard de avaliação; neste artigo, discutiremos a criação de um scorecard de avaliação de fornecedores, usando a gestão de risco de fornecedores como exemplo.

A template for vendor risk scorecard in BSC Designer

A template for a vendor risk scorecard in BSC Designer Fonte: Ver Vendor Risk Management Scorecard online no BSC Designer Vendor Risk Management Scorecard.

Nós demonstraremos como:

  • Definir critérios de avaliação,
  • Calcular a pontuação geral de segurança,
  • Coletar as evidências necessárias,
  • Acompanhar as pontuações de segurança dinamicamente, e
  • Alinhar os resultados com outros scorecards funcionais.

Defina o conjunto de critérios de avaliação

Siga as melhores práticas atuais para definir o conjunto de critérios de avaliação para o scorecard de risco do fornecedor.

Isso pode incluir:
KPI Existência de um programa formal de cibersegurança
KPI Implementação de autenticação multifator
KPI Testes de vulnerabilidade regulares
KPI Adoção da prática de ‘Privilégio Mínimo’
KPI Conformidade SOC 2 do data center
KPI Criptografia de dados em trânsito e em repouso
KPI Seguro de cibersegurança
KPI Sistemas de prevenção e detecção de intrusões
KPI Treinamento de conscientização em cibersegurança
KPI Violações de dados relatadas
KPI O número de violações de dados relatadas

Dependendo do tipo de critérios, ele pode ser configurado como:

  • Binário – com estados possíveis “sim” ou “não.”
  • Quantitativo (por exemplo, medido em %) ou qualitativo (escolha natural ou escala de Likert).
  • Os critérios podem ser otimizados para maximização (como % de funcionários que passaram no treinamento de conscientização em cibersegurança) ou minimização (como o número de violações de dados).

Defina critérios de avaliação, calcule a pontuação geral, alinhe o scorecard de avaliação com outros scorecards de estratégia e função.

Saiba mais sobre as melhores práticas para gerenciar scorecard de avaliação.

No BSC Designer:

  1. Altere para o Espaço de Trabalho de Estratégia.
  2. Navegue para Novo > Novo Scorecard > Mais modelos…
  3. Use o modelo de scorecard “Gestão de Risco do Fornecedor”.

Atribuir peso dependendo dos perfis de risco

Pese os critérios de avaliação de acordo com o perfil de risco do fornecedor.

Por exemplo:

  • Fornecedores com acesso a informações sensíveis terão um peso alto para critérios como “Seguro de Cibersegurança” ou “Violações de dados relatadas”, enquanto
  • Fornecedores sem acesso a informações sensíveis terão um peso alto para critérios mais comuns como “Autenticação multifator” e implementação da prática de “Menor Privilégio”.

Atribuir o peso aos fatores de avaliação.
No BSC Designer:

  • Selecione um critério de avaliação.
  • Alterne para a aba de Desempenho.
  • Ajuste o peso relevante na propriedade Peso.

Construir hierarquia de fornecedores

Agrupar fornecedores em uma hierarquia com base no nível do fornecedor. Propagar critérios de avaliação para cada fornecedor.

No BSC Designer:

  • Criar grupos usando o botão “Adicionar”,
  • Copiar e colar um conjunto de critérios de avaliação em cada grupo, e
  • Renomear o nome do conjunto para corresponder ao nome do fornecedor.

Ao copiar e colar, considere usar a opção “Colar e Sincronizar” para garantir que réplicas dos critérios de avaliação permaneçam sincronizadas com o modelo original. Quaisquer alterações no modelo serão automaticamente propagadas para os critérios de avaliação para fornecedores específicos.

Construa e distribua questionários

Prepare e distribua questionários de segurança para fornecedores e, posteriormente, importe os resultados de volta para o scorecard de gestão de risco de fornecedores.

Para preparar um questionário:

  1. Abra um scorecard.
  2. Selecione um conjunto de critérios.
  3. Selecione Ferramentas > Exportar dados.
  4. Marque as caixas de seleção: “Exportar apenas o item atual” e “Incluir itens filhos”.
  5. Use a opção “Exportar como modelo”.
  6. Clique em “Próximo” para finalizar a exportação.

Um exemplo de questionário de garantia/segurança

Sinta-se à vontade para adaptar o modelo resultante às suas necessidades. Por exemplo, renomeando a coluna “Valor” para “Resposta” e fornecendo quaisquer recomendações relevantes para os respondentes do questionário.

Iniciar avaliação de fornecedores

Avalie os fornecedores com base nos critérios de avaliação para identificar vulnerabilidades relevantes.

  • Insira as pontuações de avaliação manualmente no scorecard ou
  • Importe-as de uma planilha Excel para o questionário de autoavaliação pelo fornecedor.

Anexe evidências relevantes fornecidas pelo fornecedor, como certificações e políticas em prática.

No BSC Designer:

  • Atualize as pontuações manualmente através da guia Dados.
  • Use Ferramentas > Exportar dados para exportar critérios de avaliação para Excel para a autoavaliação do fornecedor.
  • Anexe evidências aos critérios de avaliação ou aos planos de mitigação articulados através do diálogo de Iniciativas.

Avaliação de Risco do Fornecedor

Podemos usar os dados de avaliação do fornecedor para estimar o risco de violações de cibersegurança para o fornecedor.

Neste caso:

  • A pontuação total da avaliação do fornecedor contribuirá para a Probabilidade do risco.
  • O Impacto do risco pode ser estimado de acordo com o papel do fornecedor na cadeia de suprimentos.

Para configurar isso no BSC Designer:

  1. Clique em Adicionar – Adicionar Risco.
  2. Clique no botão Fonte de Dados para o indicador de Probabilidade.
  3. Altere a fórmula para: 100-%[Fornecedor 1] (quanto maior o progresso do fornecedor de acordo com o scorecard, menor a probabilidade do risco).

Probabilidade de risco do fornecedor calculada usando o scorecard de cibersegurança do fornecedor

Adicione o diagrama de risco ao painel para visualizar o panorama geral de risco:

Um painel que visualiza riscos para todos os fornecedores em um mapa de calor de risco

Monitoramento Contínuo de Riscos

Acompanhe as mudanças nos scores de avaliação dos fornecedores ao longo do tempo, como alterações em certificações relevantes ou o número de violações de dados.

  • Defina o período de revisão para cada critério de avaliação
  • Monitore questões relevantes aos critérios de avaliação.
  • Planeje a melhoria dos scores de avaliação dos fornecedores.
  • Planeje a desvinculação de fornecedores.

Um modelo para um scorecard de avaliação no BSC Designer.

Um modelo para um scorecard de avaliação no BSC Designer. Fonte: Ver Evaluation Scorecard online no BSC Designer Evaluation Scorecard.

No BSC Designer:

  • Configure o Intervalo de Atualização para um indicador via Editor de Valores
  • Use o Editor de Valores para atribuir scores a datas específicas.
  • Use colunas Dinâmicas para ver como o score muda ao longo do tempo.
  • Use Iniciativas para acompanhar violações de dados e ações de mitigação—atualize o status e o período de tempo.
  • Use comentários para o score a fim de acompanhar questões e Iniciativas para mapear planos de melhoria.
Continuous Monitoring of KPIs in BSC Designer

Alinhamento com a estratégia

Alinhe o scorecard de avaliação de risco de fornecedores com outros scorecards de estratégia e função, como os scorecards de governança ou conformidade.

  • Use a pontuação geral de risco do portfólio de fornecedores.
  • Use as pontuações de risco de fornecedores específicos.
  • Interligue iniciativas de vários scorecards.

Um bom exemplo da necessidade de alinhamento estratégico é a IA. Mesmo que sua organização não planeje implementar tecnologias de IA, ela provavelmente será afetada pelo seu uso através de fornecedores terceiros e da cadeia de suprimentos. Um scorecard de fornecedores precisa estar alinhado com o scorecard funcional de governança de IA.

Cascading Method 4: Alignment by Context

No BSC Designer:

  • Copie o item de pontuação de fornecedor e cole-o no scorecard relevante.
  • Selecione a opção “Vincular por dados” ou “Vincular por contexto”.

Training programSessão de treinamento: 'Managing Evaluation Scorecards with BSC Designer' é oferecida como parte do nosso programa de aprendizado contínuo e incluída com uma assinatura do BSC Designer.

As sessões de treinamento são realizadas semanalmente via Zoom, proporcionando insights práticos e orientação personalizada. Após a conclusão, os participantes recebem um certificado de participação. Explore todas as sessões de treinamento disponíveis aqui.

Conclusões

Neste artigo, discutimos os passos para criar um scorecard de gerenciamento de riscos de fornecedores:

  1. Definição dos critérios de avaliação
  2. Atribuição de pesos dependendo do perfil de risco do fornecedor
  3. Monitoramento contínuo de riscos
  4. Alinhamento da pontuação de risco do fornecedor com outros scorecards

Saiba mais sobre mecânicas mais específicas dos scorecards de avaliação.

Use o modelo Vendor Risk Management Scorecard

O BSC Designer ajuda as organizações a implementarem suas estratégias complexas:

  1. Inscreva-se para um plano gratuito na plataforma.
  2. Use o modelo Scorecard Template Vendor Risk Management Scorecard como ponto de partida. Você o encontrará em Novo > Novo Scorecard > Mais Modelos.
  3. Siga o nosso Sistema de Implementação de Estratégia para alinhar as partes interessadas e ambições estratégicas em uma estratégia abrangente.

Comece hoje e veja como o BSC Designer pode simplificar a implementação da sua estratégia!

Citação: BSC Designer, "Scorecard de Gestão de Risco de Fornecedores: critérios de avaliação para 2025", BSC Designer, junho 12, 2024, https://bscdesigner.com/pt/scorecard-risco-de-fornecedores.htm.