Scorecard de Gestão de Risco de Fornecedores: critérios de avaliação para 2025

Saiba como criar um scorecard de avaliação de fornecedores, automatizar questionários de garantia e detectar áreas de risco para a organização causadas por um fornecedor.

Passos para criar um scorecard de gestão de riscos de fornecedores por BSC Designer

A validação de fornecedores terceirizados tornou-se parte integrante das estratégias de cibersegurança, aprovisionamento, conformidade e cadeia de suprimentos. Anteriormente, discutimos práticas gerais por trás do scorecard de avaliação; neste artigo, discutiremos a criação de um scorecard de avaliação de fornecedores, usando a gestão de riscos de fornecedores como exemplo.

Um modelo para scorecard de risco de fornecedores no BSC Designer

Um modelo para um scorecard de risco de fornecedores no BSC Designer Fonte: Ver Vendor Risk Management Scorecard online no BSC Designer Vendor Risk Management Scorecard.

Vamos demonstrar como:

  • Definir critérios de avaliação,
  • Calcular o ponto geral de segurança,
  • Coletar as evidências necessárias,
  • Acompanhar os pontos de segurança de forma dinâmica, e
  • Alinhar os resultados com outros scorecards funcionais.

Tendências de Validação de Fornecedores: Quantificação e Processo Contínuo

Vendor Validation Becomes a Quantified and Continuous Process

Defina o conjunto de critérios de avaliação

Siga as melhores práticas atuais para definir o conjunto de critérios de avaliação para o scorecard de risco do fornecedor.

Isso pode incluir:
KPI Existência de um programa formal de cibersegurança
KPI Implementação de autenticação multifator
KPI Testes de vulnerabilidade regulares
KPI Adoção da prática de ‘Privilégio Mínimo’
KPI Conformidade SOC 2 do data center
KPI Criptografia de dados em trânsito e em repouso
KPI Seguro de cibersegurança
KPI Sistemas de prevenção e detecção de intrusões
KPI Treinamento de conscientização em cibersegurança
KPI Violações de dados relatadas
KPI O número de violações de dados relatadas

Dependendo do tipo de critérios, ele pode ser configurado como:

  • Binário – com estados possíveis “sim” ou “não.”
  • Quantitativo (por exemplo, medido em %) ou qualitativo (escolha natural ou escala de Likert).
  • Os critérios podem ser otimizados para maximização (como % de funcionários que passaram no treinamento de conscientização em cibersegurança) ou minimização (como o número de violações de dados).

Defina critérios de avaliação, calcule a pontuação geral, alinhe o scorecard de avaliação com outros scorecards de estratégia e função.

Saiba mais sobre as melhores práticas para gerenciar scorecard de avaliação.

No BSC Designer:

  1. Altere para o Espaço de Trabalho de Estratégia.
  2. Navegue para Novo > Novo Scorecard > Mais modelos…
  3. Use o modelo de scorecard “Gestão de Risco do Fornecedor”.

Atribuir peso dependendo dos perfis de risco

Pese os critérios de avaliação de acordo com o perfil de risco do fornecedor.

Por exemplo:

  • Fornecedores com acesso a informações sensíveis terão um peso alto para critérios como “Seguro de Cibersegurança” ou “Violações de dados relatadas”, enquanto
  • Fornecedores sem acesso a informações sensíveis terão um peso alto para critérios mais comuns como “Autenticação multifator” e implementação da prática de “Menor Privilégio”.

Atribuir o peso aos fatores de avaliação.
No BSC Designer:

  • Selecione um critério de avaliação.
  • Alterne para a aba de Desempenho.
  • Ajuste o peso relevante na propriedade Peso.

Construir hierarquia de fornecedores

Agrupar fornecedores em uma hierarquia com base no nível do fornecedor. Propagar critérios de avaliação para cada fornecedor.

No BSC Designer:

  • Criar grupos usando o botão “Adicionar”,
  • Copiar e colar um conjunto de critérios de avaliação em cada grupo, e
  • Renomear o nome do conjunto para corresponder ao nome do fornecedor.

Ao copiar e colar, considere usar a opção “Colar e Sincronizar” para garantir que réplicas dos critérios de avaliação permaneçam sincronizadas com o modelo original. Quaisquer alterações no modelo serão automaticamente propagadas para os critérios de avaliação para fornecedores específicos.

Construa e distribua questionários

Prepare e distribua questionários de segurança para fornecedores e, posteriormente, importe os resultados de volta para o scorecard de gestão de risco de fornecedores.

Para preparar um questionário:

  1. Abra um scorecard.
  2. Selecione um conjunto de critérios.
  3. Selecione Ferramentas > Exportar dados.
  4. Marque as caixas de seleção: “Exportar apenas o item atual” e “Incluir itens filhos”.
  5. Use a opção “Exportar como modelo”.
  6. Clique em “Próximo” para finalizar a exportação.

Um exemplo de questionário de garantia/segurança

Sinta-se à vontade para adaptar o modelo resultante às suas necessidades. Por exemplo, renomeando a coluna “Valor” para “Resposta” e fornecendo quaisquer recomendações relevantes para os respondentes do questionário.

Iniciar avaliação de fornecedores

Avalie os fornecedores com base nos critérios de avaliação para identificar vulnerabilidades relevantes.

  • Insira as pontuações de avaliação manualmente no scorecard ou
  • Importe-as de uma planilha Excel para o questionário de autoavaliação pelo fornecedor.

Anexe evidências relevantes fornecidas pelo fornecedor, como certificações e políticas em prática.

No BSC Designer:

  • Atualize as pontuações manualmente através da guia Dados.
  • Use Ferramentas > Exportar dados para exportar critérios de avaliação para Excel para a autoavaliação do fornecedor.
  • Anexe evidências aos critérios de avaliação ou aos planos de mitigação articulados através do diálogo de Iniciativas.

Avaliação de Risco do Fornecedor

Podemos usar os dados de avaliação do fornecedor para estimar o risco de violações de cibersegurança para o fornecedor.

Neste caso:

  • A pontuação total da avaliação do fornecedor contribuirá para a Probabilidade do risco.
  • O Impacto do risco pode ser estimado de acordo com o papel do fornecedor na cadeia de suprimentos.

Para configurar isso no BSC Designer:

  1. Clique em Adicionar – Adicionar Risco.
  2. Clique no botão Fonte de Dados para o indicador de Probabilidade.
  3. Altere a fórmula para: 100-%[Fornecedor 1] (quanto maior o progresso do fornecedor de acordo com o scorecard, menor a probabilidade do risco).

Probabilidade de risco do fornecedor calculada usando o scorecard de cibersegurança do fornecedor

Adicione o diagrama de risco ao painel para visualizar o panorama geral de risco:

Um painel que visualiza riscos para todos os fornecedores em um mapa de calor de risco

Monitoramento Contínuo de Risco

Acompanhar as mudanças nos pontos de avaliação de fornecedores ao longo do tempo, como alterações em certificações relevantes ou o número de violações de dados.

  • Defina o período de revisão para cada critério de avaliação
  • Monitore questões relevantes para os critérios de avaliação.
  • Planeje a melhoria dos pontos de avaliação de fornecedores.
  • Planeje a descontinuação de fornecedores.

Um modelo para um scorecard de avaliação no BSC Designer.

Um modelo para um scorecard de avaliação no BSC Designer. Fonte: Ver Evaluation Scorecard online no BSC Designer Evaluation Scorecard.

No BSC Designer:

  • Configurar o Intervalo de Atualização para um indicador através do Editor de Valores
  • Usar o Editor de Valores para atribuir pontos a datas específicas.
  • Usar colunas Dinâmicas para ver como o ponto muda ao longo do tempo.
  • Usar Iniciativas para acompanhar violações de dados e ações de mitigação—atualizar status e período de tempo.
  • Usar comentários para o ponto para acompanhar questões e Iniciativas para mapear planos de melhoria.
Monitoramento Contínuo de KPIs no BSC Designer

Alinhamento com a estratégia

Alinhe o scorecard de avaliação de risco de fornecedores com outros scorecards de estratégia e função, como os scorecards de governança ou conformidade.

  • Use a pontuação geral de risco do portfólio de fornecedores.
  • Use as pontuações de risco de fornecedores específicos.
  • Interligue iniciativas de vários scorecards.

Um bom exemplo da necessidade de alinhamento estratégico é a IA. Mesmo que sua organização não planeje implementar tecnologias de IA, ela provavelmente será afetada pelo seu uso através de fornecedores terceiros e da cadeia de suprimentos. Um scorecard de fornecedores precisa estar alinhado com o scorecard funcional de governança de IA.

Cascading Method 4: Alignment by Context

No BSC Designer:

  • Copie o item de pontuação de fornecedor e cole-o no scorecard relevante.
  • Selecione a opção “Vincular por dados” ou “Vincular por contexto”.

Training programSessão: 'Managing Evaluation Scorecards with BSC Designer' está disponível como parte do programa de aprendizado contínuo do BSC Designer, oferecido tanto como workshop online quanto presencial. Saiba mais....

Conclusões

Neste artigo, discutimos os passos para criar um scorecard de gerenciamento de riscos de fornecedores:

  1. Definição dos critérios de avaliação
  2. Atribuição de pesos dependendo do perfil de risco do fornecedor
  3. Monitoramento contínuo de riscos
  4. Alinhamento da pontuação de risco do fornecedor com outros scorecards

Saiba mais sobre mecânicas específicas de scorecards de avaliação.

Use o modelo Vendor Risk Management Scorecard

O BSC Designer ajuda as organizações a implementarem suas estratégias complexas:

  1. Inscreva-se para um plano gratuito na plataforma.
  2. Use o modelo Scorecard Template Vendor Risk Management Scorecard como ponto de partida. Você o encontrará em Novo > Novo Scorecard > Mais Modelos.
  3. Siga o nosso Sistema de Implementação de Estratégia para alinhar as partes interessadas e ambições estratégicas em uma estratégia abrangente.

Comece hoje e veja como o BSC Designer pode simplificar a implementação da sua estratégia!

Citação: BSC Designer, "Scorecard de Gestão de Risco de Fornecedores: critérios de avaliação para 2025", BSC Designer, junho 12, 2024, https://bscdesigner.com/pt/scorecard-risco-de-fornecedores.htm.