54% das violações de segurança na América Latina se originam na cadeia de suprimentos. Realizamos auditorias de segunda parte em fornecedores críticos avaliando controles de segurança, anticorrupção, continuidade e conformidade normativa.
A organização depende de fornecedores que processam dados sensíveis, operam infraestrutura crítica ou atuam como intermediários em mercados regulados, mas não conta com um processo formal de avaliação de riscos de terceiros. Os contratos incluem cláusulas genéricas de confidencialidade que nunca são verificadas. Não existe visibilidade sobre os controles de segurança, continuidade ou anticorrupção que os fornecedores implementam.
Um incidente em um fornecedor crítico impacta diretamente a organização: exfiltração de dados de clientes, interrupção de serviços, exposição a sanções por atos de corrupção de terceiros (Lei 27.401 na Argentina). Os reguladores responsabilizam a organização pelos atos de seus fornecedores quando não existe due diligence documentado. A perda de um fornecedor sem plano alternativo pode paralisar operações durante semanas.
Desenhamos e executamos o programa de due diligence de fornecedores em três níveis: (1) questionário de autoavaliação ISO para fornecedores de baixo risco, (2) auditoria documental remota para fornecedores de risco médio, e (3) auditoria de segunda parte presencial para fornecedores críticos. Avaliamos contra os controles de ISO 27001 (segurança), ISO 37001 (anticorrupção) e ISO 22301 (continuidade) conforme o perfil de risco de cada fornecedor. O entregável inclui o scoring de cada fornecedor, os achados críticos e as recomendações contratuais.
Os fornecedores que processam dados pessoais ou confidenciais da organização, os que operam infraestrutura tecnológica crítica (hosting, ERP, processamento de pagamentos), os que atuam como intermediários em mercados regulados e aqueles cuja interrupção paralisaria as operações do negócio. Aplicamos uma matriz de criticidade baseada em impacto (operacional, regulatório, reputacional) e nível de acesso aos ativos da organização.
Avaliamos os controles antissuborno do fornecedor conforme ISO 37001: política antissuborno, due diligence de seus próprios terceiros, registro de presentes e hospitalidade, canal de denúncias e treinamento do pessoal. Em jurisdições de alto risco segundo o Índice de Percepção de Corrupção da Transparência Internacional, aplicamos procedimentos reforçados que incluem verificação de beneficiários finais e antecedentes de pessoas politicamente expostas.
Não. A auditoria de segunda parte avalia o fornecedor desde a perspectiva dos riscos específicos que gera para sua organização, não certifica o fornecedor. Um fornecedor pode ter certificação ISO 27001 e ainda assim apresentar riscos relevantes para seu cliente se os controles certificados não cobrem o escopo do serviço contratado. Nossa auditoria verifica a aplicabilidade real dos controles ao contexto da relação comercial.
Diagnostico em 72 horas operacionais. Metodologia ISO. Sem vinculacao com certificadores.
Solicitar diagnostico