Como este tema funciona na sua empresa
Frequentemente têm 1-2 fornecedores críticos (hosting, software core, integrador local). Modelo simples: crítico vs. não crítico. Crítico tem acompanhamento mensal/trimestral; outros conforme demanda. Risco: concentração excessiva em um fornecedor. Recomendação: backup simples para crítico (ex: plano B se fornecedor sai).
Começam a estruturar matriz de criticidade: Crítica (SLA mínimo 99.5%, pode derrubar negócio), Importante (afeta performance, não derruba), Operacional (suporte, não-crítico). Aplicam cadência diferenciada (crítico: semanal, importante: mensal, operacional: trimestral). Desafio: manter política consistente entre departamentos.
Matriz complexa com múltiplas dimensões: impacto operacional, financeiro, segurança, regulatório. Critérios explícitos; reclassificação periódica. Governança diferenciada por nível (crítico: executivo semanal, importante: gestor mensal). Integração com risk management.
Governança por criticidade é abordagem onde empresas diferenciam nível de supervisão e investimento em relacionamento baseado em impacto do fornecedor no negócio. Fornecedores críticos (falha = negócio parado) recebem governança rigorosa; operacionais recebem mínima. Eficiente e realista[1].
Matriz de criticidade: classificação clara
Definir explicitamente: qual % do negócio fica parado se fornecedor falha? Crítico: > 30% (core business). Importante: 10-30% (operação degrada, mas não para). Operacional: < 10% (suporte, facilmente recuperável). Exemplos: cloud provider para aplicação de vendas = crítico; software de contabilidade = importante; ferramentas de backup = operacional. Criar matriz com: nome fornecedor, classificação, data de última revisão, quem faz review. Revisar anualmente: mudanças no negócio podem mudar criticidade (ex: novo produto depende de fornecedor que era operacional antes, agora é crítico).
Cadência diferenciada por criticidade
Crítico: acompanhamento semanal (nível técnico) + mensal (executivo). SLA agressivo: 99.5%+ uptime, 1h resposta a problema crítico. Importante: mensal (nível gerencial). SLA moderado: 98%+ uptime, 4h resposta. Operacional: trimestral ou conforme demanda. SLA relaxado: 95%+ uptime, 24h resposta. Benefício: equipe não fica sobrecarregada acompanhando tudo intensamente; foca em crítico.
Plano de contingência: necessário para crítico
Fornecedor crítico deve ter plano de contingência documentado: se fornecedor sai, qual é o plano B? Tempo de ativação? Custo? Testado anualmente. Exemplo: cloud provider é crítico. Plano B: ligar segundo fornecedor em 4h (manter standby). Testar isso 1x/ano. Operacional não precisa: se falhar, tempo para recuperar (horas) é suportável. Importante: algo no meio (plano de backup simples, não necessariamente standby).
Implementar: (1) identificar fornecedor crítico (o que quebraria negócio?); (2) para cada crítico, documentar SLA mínimo, contato de escalação, plano B simples; (3) revisar anualmente se ainda é crítico; (4) comunicar a fornecedor que é crítico (justifica mais investimento em relacionamento). Isso é suficiente para pequena.
Implementar: (1) matriz de criticidade clara (crítico/importante/operacional); (2) critério: % do negócio que fica parado; (3) cadência diferenciada: crítico mensal, importante mensal/trimestral, operacional trimestral; (4) SLA diferenciado por criticidade (crítico: 99.5% uptime, importante 98%, operacional 95%); (5) plano de contingência para crítico (testado 1x/ano); (6) comunicar a fornecedores sua classificação. Revisão: anualmente ou quando contexto muda.
Implementar: (1) matriz sofisticada com múltiplas dimensões (operacional, financeiro, segurança, regulatório); (2) algoritmo de classificação (scoring); (3) cadência muito diferenciada: crítico semanal (nível técnico + executivo mensal), importante mensal, operacional trimestral; (4) SLA agressivo para crítico (99.9%+ uptime, <1h resposta), moderado para importante, relaxado para operacional; (5) plano de continuidade formal para crítico (RTO/RPO definidos, testado 2x/ano); (6) risk register que rastreia riscos de fornecedor crítico; (7) programa de desenvolvimento com fornecedor crítico (inovação, melhorias). Integração: Risk Management + Procurement + TI.
Reclassificação: quando e como fazer
Não é estática. Reclassificar anualmente no mínimo. Triggers para reclassificação ad hoc: novo produto lançado (pode mudar dependência), fusão/aquisição, mudança de estratégia, fornecedor teve 3+ falhas críticas (sobe para mais supervisão). Exemplos: (1) startup: software de CRM é importante inicialmente; depois lança novo produto baseado em CRM, vira crítico. (2) grande banco: fornecedor de compliance era operacional; nova regulação muda contexto, vira crítico. Processo: revisar anualmente com stakeholders (TI, Financeiro, Operações), atualizar matriz, comunicar novo status a fornecedor.
Sinais de que sua classificação de criticidade está errada
Se você se reconhece em três ou mais cenários abaixo, revise sua matriz.
- Fornecedor que você classifica como "operacional" quando falha, negócio sofre muito; classificação está errada
- Acompanha fornecedor "crítico" 4x/ano; poderia aumentar frequência
- Fornecedor antes crítico, negócio mudou, ainda trata como crítico (wasting effort)
- Não tem plano de contingência para fornecedor crítico; descobriu quando ele falhou
- Concentração em 1 fornecedor > 30%; deveria ter backup porque está muito crítico
- Mudança significativa no negócio (novo produto, fusão); nunca reclassificou fornecedores
- Não comunica a fornecedor qual é sua criticidade; fornecedor não entende por que é acompanhado intensamente
Caminhos para implementar governança por criticidade
Começar com matriz simples, evoluir ao longo do tempo.
- Perfil necessário: gestor de fornecedores + apoio de TI e Operações
- Tempo estimado: 2 semanas para classificar fornecedores atuais
- Faz sentido quando: você tem < 20 fornecedores; matriz simples é suficiente
- Risco principal: critério pode ser subjetivo; falta de consistência
Se você quer critério objetivo e sofisticado.
- Tipo de fornecedor: consultores de risk management ou vendor risk specialists
- Vantagem: critério sofisticado, multi-dimensional, benchmarking
- Faz sentido quando: você tem 50+ fornecedores; risco é alto; quer scoring científico
- Resultado típico: 4-6 semanas, matriz sofisticada com scoring, processo anual de reclassificação
Precisa implementar governança por criticidade?
Aplicar mesma governança a todos fornecedores é ineficiente. oHub conecta você gratuitamente a consultores de risk management e especialistas em vendor criticality que ajudam a classificar fornecedores e implementar governança diferenciada. Em menos de 3 minutos, descreva seu contexto (quantos fornecedores, qual é o maior) e receba recomendação, sem compromisso.
Encontrar fornecedores de TI no oHub
Sem custo, sem compromisso. Você recebe análise e decide se quer apoio.
Perguntas frequentes
Como classificar um fornecedor que é crítico em um aspecto, mas não em outro?
Use critério principal: qual é o impacto TOTAL se fornecedor falha? Se impacto é > 30%, é crítico mesmo que seja crítico apenas em um aspecto. Alternativa: criar sub-categorias (crítico operacional, crítico segurança), cada uma com governança própria.
Quantas vezes devo reclassificar por ano?
Mínimo: anualmente (ex: janeiro). Ad hoc: quando contexto muda (novo produto, fusão, falha do fornecedor). Mais de 2x/ano é overhead excessivo (não muda muito rápido).
E se fornecedor "vira" crítico de repente?
Reclassifique imediatamente. Exemplo: fornecedor de backup era operacional; você descobre que backup foi negligenciado por 6 meses, agora critica está em risco. Reclassifique para crítico, aumente supervisão. Não espere revisão anual.
Deveria ter multiple fornecedores para cada categoria crítica?
Idealmente sim. Crítico com fornecedor único = risco. Recomendado: pelo menos 2 fornecedores críticos em cada categoria (primário + backup). Não consegue múltiplos? Documentar risco, ter plano de contingência robusto, aumentar supervisão.
Como comunicar classificação a fornecedor sem soar punitivo?
Comunicar como "reconhecimento": "você é crítico para negócio, por isso investimos mais em relacionamento, queremos assegurar que está tudo bem". Positivo, não punitivo. Benefício para fornecedor: entende por que tem mais atenção, pode justificar seu investment.
Criticidade muda com o tempo?
Sim. Exemplo: fornecedor de email era crítico em 2010; com cloud, virou importante. Software de RH era operacional; nova regulação (LGPD) torna crítico. Revisar periodicamente ajuda a não gastar recursos em supervisionamento de não-críticos.
Fontes e referências
- Gartner: Vendor Risk Management Framework and Criticality Assessment. Gartner Research, 2023.
- ISO/IEC 27035:2016 — Information Security Incident Management. International Organization for Standardization.
- DRI International: Business Continuity Planning and Risk Classification. DRI, 2023.
- CETIC.br: Pesquisa Criticidade de Fornecedores em Empresas Brasileiras. Instituto Brasileiro de Pesquisas, 2023.