Instytucje finansowe działają w środowisku powiązań i są zależne od wielu stron trzecich. Pozwala to osiągać korzyści poprzez wzrost efektywności kosztowej realizowanych procesów i koncentrację na podstawowej działalności generującej przychody. Z drugiej jednak strony stanowi istotne ryzyko zakłóceń dla prowadzonej działalności. Materializacja tego ryzyka może oznaczać istotny spadek przychodów, zagrożenie dla ciągłości świadczonych usług i spełnienia wymagań regulacyjnych.
Wybuch pandemii COVID-19, a w konsekwencji szybko ewoluujące globalne zagrożenie wzbudziło uzasadnione obawy dotyczące odporności instytucji finansowych. Wzajemne powiązania dzisiejszego środowiska biznesowego i powszechność korzystania z usług zewnętrznych dostawców, począwszy od klasycznych łańcuchów dostaw kończąc na świadczeniu kluczowych usług biznesowych, stwarza istotne ryzyko, które może wpłynąć na znaczną utratę dochodów instytucji. Zgodnie z wynikami globalnej ankiety EY w zakresie zarządzania ryzykiem stron trzecich, aż przeszło 40% organizacji doświadczyło naruszenia danych spowodowanego przez stronę trzecią. Ze względu na zmiany i zakłócenia w środowisku kontrolnym należy się spodziewać, że występowanie tego rodzaju incydentów jeszcze bardziej nasiliło się w trakcie pandemii COVID-19.
Wśród procesów, które powinny zostać poddane ocenie i potencjalnemu ulepszeniu należy wskazać: procesy produktowe, procesy IT, procesy związane z cyberbezpieczeństwem, procesy HR oraz proces sprawozdawczości finansowej. Instytucje powinny również zwracać uwagę na tzw. ukryte ryzyka związane ze stronami trzecimi np. dotyczące korzystania z aplikacji mobilnych przed dostawców w celu organizacji pracy zdalnej.
Znalezienie równowagi pomiędzy ryzykiem a korzyściami wynikającymi z korzystania z usług stron trzecich od zawsze było istotnym wyzwaniem dla niemal każdego banku. Co więcej, w czasie kryzysu spowodowanego pandemią COVID-19 ryzyko wynikające z outsourcowania czynności znacznie wzrosło. W związku z tym dotychczas przyjęte podejście do zarządzania ryzykiem stron trzecich może okazać się niewystarczające zarówno podczas kryzysu, jak i po jego ustąpieniu. Oznacza to, że organizacje będą zobowiązane do przeprowadzenia przeglądu przyjętego modelu współpracy ze stronami trzecimi w celu zapewnienia ciągłości świadczenia usług i bezpieczeństwa danych. powierzanych i/lub outsourcowanych usług.
Działania do podjęcia
Instytucje finansowe powinny podjąć szereg działań w zakresie zarządzania ryzykiem stron trzecich. W pierwszej kolejności działania powinny koncentrować się na identyfikacji powstałych ryzyk i ograniczeniu bezpośredniego zagrożenia związanego z odpornością operacyjną kluczowych dostawców usług. Wśród nich można wskazać organizację bezpiecznego środowiska do pracy zdalnej czy zaadresowanie obaw dot. stabilności finansowej instytucji.
W kolejnym etapie, w okresie stabilizacji sytuacji gospodarczej, instytucje finansowe powinny skupić się głównie na bieżącym monitorowaniu dostawców usług oraz zrozumieniu ich sposobu funkcjonowania, w tym zmian w ich środowisku kontrolnym w trakcie kryzysu.
W długim termin z kolei organizacje powinny dokonać weryfikacji skuteczności dotychczas przyjętego modelu współpracy ze stronami trzecimi i podjęcia decyzji nt. jego ewentualnej zmiany. Wyzwanie, z którym mierzy się większość organizacji polega na osiągnieciu powyżej opisanych celów i działań z uwzględnieniem ciągłych zmian w środowisku gospodarczym.
Podejścia do zarządzania ryzykiem stron trzecich
Obecnie organizacje stosują bardzo zróżnicowane podejścia do zarządzania ryzykiem stron trzecich. Na polskim rynku czynności wykonywane w ramach procesu zarządzania ryzykiem stron trzecich często są rozproszone, odbywają się w wielu jednostkach. Ponadto, proces ten w wielu organizacjach wykonywany jest w sposób manualny. Obecnie zaledwie kilka banków lokalnych posiada wdrożone narzędzia wspierające automatyzację procesu zarządzania ryzykiem stron trzecich. Wierzymy, że wykorzystanie technologii znacząco ułatwi zarządzanie procesem i zwiększy jego efektywność.
Warto zauważyć, że strony trzecie stanowią integralną część nowoczesnego biznesu. Korzyści, jakie przynoszą instytucjom poza tymi czysto finansowymi to również specjalistyczna wiedza i wsparcie operacyjne, co uwidoczniła pandemia COVID-19. Jeżeli obecne podejście instytucji do zarządzania relacjami ze stronami trzecimi nie zostanie dostosowane do powstałych zmian, może to spowodować zwiększone ryzyko, zwłaszcza w sytuacji kolejnego kryzysu. Scentralizowane, oparte o technologie podejście do TPRM, umożliwi skuteczniejsze i szybsze zarządzanie ryzykiem stron trzecich, a także zapewni większe bezpieczeństwo i przejrzystość w tym zakresie.
Więcej informacji o TPRM w dobie COVID-19 w załączonych prezentacjach