Fonte : RISK MANAGEMENT - RIMS - www.rmmagazine.com

1. Identifique os riscos ESG relevantes para sua organização e importantes para seus stakeholders. As empresas devem primeiro determinar a quais riscos ESG sua empresa pode estar exposta e quais questões são importantes para seus funcionários, membros do conselho, clientes e outras partes interessadas. As empresas também devem entender quais regulamentos relacionados a ESG, se houver, podem precisar seguir. A etapa de identificação é especialmente importante se uma organização tiver recursos limitados e precisar entender quais áreas têm maior exposição a riscos e devem ser priorizadas.

As questões ESG estão em constante mudança, por isso é essencial reavaliar regularmente as prioridades e obrigações ESG. Por exemplo, após a invasão da Ucrânia pela Rússia em fevereiro de 2022, fazer negócios com empresas afiliadas ao governo russo tornou-se desagradável para muitas empresas e seus investidores. Novas legislações e regulamentações também podem forçar as empresas a reavaliar os riscos ESG.

2. Reúna informações de risco ESG sobre fornecedores de fontes internas e externas. Depois que as empresas identificam quais questões ESG são mais importantes, a próxima etapa é coletar dados sobre fornecedores para avaliar os riscos associados a essas questões. Essa coleta de dados deve ser realizada por meio de fontes internas ou externas. Por exemplo, as empresas geralmente pedem aos fornecedores que preencham questionários para identificar e avaliar preocupações e controles de segurança. A inclusão de tópicos relacionados a ESG nesses questionários pode ajudar as organizações a entender como terceiros avaliam seus riscos ESG e quaisquer medidas de mitigação que sejam tomadas.

As organizações estão lançando cada vez mais seus próprios relatórios ESG, que também podem ser um bom ponto de partida ao avaliar o perfil ESG de um fornecedor. De acordo com o Governance and Accountability Institute, mais de 90% das empresas indexadas no S&P 500 e um número crescente de empresas no índice Russell 1000 agora publicam relatórios de sustentabilidade.

As organizações também podem utilizar auditores externos para ajudar a avaliar os riscos ESG de terceiros e os esforços de mitigação. Muitas organizações surgiram nos últimos anos que avaliam e pontuam regularmente as empresas em sua exposição ESG e esforços de mitigação. A avaliação e auditoria externas podem fornecer outro nível de garantia para as partes interessadas de uma organização de que ela está levando a sério os riscos ESG.

3. Avalie os riscos ESG sistematicamente. Uma vez que as empresas tenham um sistema para coletar dados sobre os riscos ESG de terceiros, elas devem usar um método de pontuação padronizado para avaliar os dados e determinar um nível aceitável de risco. Um método de pontuação sistemático ajudará as empresas a avaliar o risco inerente de um terceiro, que é o risco representado pelo terceiro sem qualquer controle. Também ajudará a identificar o risco residual, ou o nível de risco que permanece do terceiro depois que os controles e outros esforços de mitigação estiverem em vigor. Estão disponíveis várias ferramentas que integram e avaliam dados de terceiros para melhorar a avaliação de riscos e a tomada de decisões.

O uso de um mecanismo de pontuação padrão para avaliar terceiros pode ajudar as empresas a determinar se um fornecedor representa risco ESG suficiente para exigir uma avaliação mais aprofundada, avaliar a eficácia dos esforços de mitigação e garantir que o risco representado pelo terceiro não exceda o apetite de risco da organização.

Avaliar os riscos ESG pode parecer uma tarefa assustadora para equipes de gestão de riscos já sobrecarregadas. No entanto, ao incorporar avaliações sistemáticas relacionadas a ESG em procedimentos de due diligence já estabelecidos, as organizações podem adicionar uma camada de proteção para garantir que não sejam expostas a riscos ESG desconhecidos de terceiros.

Marion Jones , CISSP, CRISC, é uma consultora de tecnologia focada em gerenciamento de riscos de terceiros e segurança cibernética, e trabalhou anteriormente para o governo federal dos EUA nas áreas de inteligência e aplicação da lei.