A dependencia de fornecedores externos e uma realidade estrutural de qualquer organizacao moderna. Servicos em nuvem, desenvolvimento de software terceirizado, outsourcing de processos criticos: a cadeia de suprimentos digital e tao extensa que, em muitos casos, o fornecedor mais fraco define o nivel de risco de toda a organizacao.
O que e uma auditoria de segunda parte
Uma auditoria de segunda parte e aquela realizada pelo cliente sobre seu fornecedor. Diferente da auditoria de terceira parte, a auditoria de segunda parte responde aos interesses especificos da organizacao contratante. A ISO 19011:2018 aplica-se diretamente a este tipo de avaliacao.
Como definir quais fornecedores auditar
Voce nao pode auditar todos os fornecedores com a mesma profundidade. Classifique por criticidade: acesso a dados sensiveis, processos criticos, acesso direto a sistemas ou atuacao em nome da organizacao.
O que avaliar
Uma auditoria de fornecedor critico deve cobrir cinco dimensoes: governanca e politicas, controles de acesso e segregacao de dados, gestao de incidentes, continuidade do servico e conformidade com rastreabilidade. A gestao integral de riscos comeca por saber quem tem acesso a que.
Documentacao e acompanhamento
Cada achado deve ser acionavel, com criterio de auditoria, evidencia, classificacao e acao requerida com prazo. Para estruturar um programa de auditoria de fornecedores, comece por um diagnostico de controles ISO 27001 e uma avaliacao de maturidade ISO 9001.