Com ambientes conectados a parceiros, líderes de SI veem seus perímetros de segurança expandidos. Isto se reflete na busca por uma governança eficaz, com um programa forte de gestão de riscos e de segurança, apoiado em políticas que devem ser garantidas e executadas por terceiros.
1. Due Diligence de SI
ANÁLISES DE CONFORMIDADE E COMPLIANCE EM FORNECEDORES E OUTSOURCING
Cleber Visconti
Compliance Director | Data Privacy & Cybersecurity Researcher
@clebervisconti
2. Com ambientes conectados a
parceiros, líderes de SI veem seus
perímetros de segurança expandidos.
Isto se reflete na busca por uma
governança eficaz, com um programa
forte de gestão de riscos e de
segurança, apoiado em políticas que
devem ser garantidas e executadas
por terceiros.
2
Debate: Due Diligence de Fornecedores
Due Diligence e Avaliação de Riscos
01
Periodicidade de Avaliações
02
Auditorias, mapeamentos e relatórios
03
Garantias de Conformidade e
Responsabilidades
04
8. 8
O que você sabe sobre seus parceiros?
• O que você observa no mercado
• O que te contaram ou venderam
• O que você pode verificar e
• O que você pode monitorar
10. 10
Macro Processo de uma Due Diligence
Identificar
Empresas e suas relações
com outras companhias /
sub-contratações
Verificar
Inteligência de dados sobre
determinada empresa com
uma abordagem de risco
Enriquecer
Identificar donos do negócio,
proprietários, socios e /ou
beneficiários finais
Pesquisar
Realizar pesquisas detalhadas
com informações de
mercado, governamentais e
de risco a reputação
Monitorar
Monitorar alterações, definir
alertas de conformidade e
documentar e preservar
informações durante todo o
processo
11. 11
Principais componentes de uma Due Diligence
Como Monitorar ?
• Politicas e Procedimentos
• Fluxos de validação
• Red Flags / falso positivo
• Alterações na Administração
• Situação financeira
• Localização
• Auditorias on-site
Quem Investigar ?
• CEO / Sócios
• Principais Executivos
• Relações de sub-contratação
O que Investigar ?
• Listas Governamentais,
Regulatórias e Disciplinares
• PEP – Pessoas Politicamente
Expostas
• Notícias Negativas
• OSINT
• Pesquisa de Litigios
• Classificações de Risco
13. Com ambientes conectados a
parceiros, líderes de SI veem seus
perímetros de segurança expandidos.
Isto se reflete na busca por uma
governança eficaz, com um programa
forte de gestão de riscos e de
segurança, apoiado em políticas que
devem ser garantidas e executadas
por terceiros.
13
Debate: Due Diligence de Fornecedores
Due Diligence e Avaliação de Riscos
01
Periodicidade de Avaliações
02
Auditorias, mapeamentos e relatórios
03
Garantias de Conformidade e
Responsabilidades
04
15. o Kroll and Ethisphere, Anti-Bribery and Corruption Benchmarking Report (New York:
Kroll, 2017), 7, 38.
o ACLN Audit Committee Leadership Network by EY (Link)
o Dun & Bradstreet references and service offering
o Cyber GRX Report (Link)
15
Referências