Vývoj datově řízeného, proaktivního a akčně orientovaného systému řízení rizik třetích stran (TPRM) by mohl pomoci poskytnout řešení.
To, co představovalo kdysi relativně malé riziko v souvislosti s výměnou informací se třetími stranami, se stalo jedním z hlavních rizik pro banky a jiné organizace finančních služeb. Firmy poskytující finanční služby čelí složitému ekosystému třetích stran a řadě rizik, která vyžadují řízení nebo zmírňování. Této skutečnosti si nevšimly regulační orgány, které se stále více zajímají o TPRM z hlediska odolnosti.
Ačkoli TPRM není nové a firmy mají zavedeny postupy pro jeho řešení, mnoho složitostí a rizik, které s sebou momentálně přináší, znamená, že je zapotřebí nový přístup. Otázka zní, jaký by měl být tento přístup?
Proč je TPRM prioritou pro organizace finančních služeb?
Existuje mnoho dobrých důvodů, proč je TPRM v současné době na prvním místě agendy vrcholného vedení firem. Zaprvé, organizace finančních služeb využívají tolik třetích stran různých typů, na něž spoléhají, protože z nich mají užitek několika způsoby. Kromě externích poskytovatelů služeb, kteří provozují funkce back office s cílem zlepšit efektivitu a snížit náklady, nabízejí třetí strany stále větší odborné znalosti v inovativních oblastech a poskytují služby s přidanou hodnotou. Ekosystém třetích stran se stal velmi složitým.
Tato složitost je ještě umocněna skutečností, že klíčové třetí strany budou obvykle interagovat s mnoha různými třetími stranami samy o sobě – tudíž budování dodavatelského řetězce povede ke čtvrtým stranám, pátým stranám atd. Výsledkem je, že nyní máme koncept „N-té strany“ představující neustále se rozvíjející dodavatelský řetězec v moderním podnikatelském prostředí.
Třetí strany také existují ve skupinových strukturách globálních společností. Dceřiná společnost se sídlem v Evropě může poskytovat základní služby jiným společnostem ve skupině a potenciálně je vystavovat jakémukoli riziku, které není spravováno nebo u něhož nedošlo ke zmírnění. Podobně s růstem FinTechs a iniciativami, jako je otevřené bankovnictví, mnoho finančních institucí vytváří nové aliance a společné podniky, aby vydělaly na rozvíjejících se příležitostech. Tyto nové vztahy opět zvyšují složitost obchodního ekosystému a výzvu efektivního TPRM.
Další komplikující faktor, který posunul TPRM na vyšší úroveň agendy řízení, se týká mnoha různých typů rizik, které podniky musí nyní posoudit a zmírnit. Kromě klasického rizika zabezpečení dat musí subjekty finančních služeb zvážit rizika spojená s úplatkářstvím a korupcí, moderním otroctvím, lidskými právy, daňovými úniky a dopady na životní prostředí. Špatný výkon třetí strany v kterékoli z těchto oblastí by mohl mít škodlivý vliv na svěřenou firemní značku.
Regulační orgány také zvyšují své požadavky ve vztahu k TPRM, jak dokládají směrnice pro outsourcing vydané Evropským orgánem pro bankovnictví (EBA). Regulační orgány místních zemí také kladou své požadavky. Například Finanční regulační úřad ve Velké Británii vyvíjí svou vlastní politiku v oblasti outsourcingu a řízení rizik třetích stran, inspirovanou částečně činnostmi EBA a snahou Bank of England o větší provozní odolnost. Podobné iniciativy probíhají po celém světě. Organizace budou muset být v budoucnu schopny poskytnout vhodné odpovědi na otázky regulačních orgánů nebo čelit důsledkům možných sankcí a poškozené pověsti.
Jakým výzvám čelí společnosti zabývající se finančními službami při řešení TPRM?
Rád bych se svých klientů zeptal na to, kdo přebírá riziko třetích stran na úrovni správní rady? Na tuto otázku je obecně těžké odpovědět. Přidělit někomu takovou úlohu je klíčovou výzvou pro mnoho organizací poskytujících finanční služby.
Často se předpokládá, že za TPRM odpovídá referent pro zprostředkování zakázek. Hlavní referent pro zprostředkování zakázek však není osobou, jež rozhoduje, kterého externího poskytovatele služeb nebo kterou cloudovou platformu zvolit. Tato rozhodnutí budou učiněna v obchodě, přičemž tým určený ke zprostředkování zakázek je poté bude muset zjednodušit. Přiřazení rizik v souvislosti s třetími stranami týmu určenému ke zprostředkování zakázek je tudíž neudržitelné. Toto riziko by mělo být spojeno s rozhodovací pravomocí – ať už jde o vedoucího informačního pracovníka, vedoucího provozu nebo jiného příslušného obchodního vedoucího.
Jednou z dalších výzev při přidělování odpovědnosti je to, že odborné znalosti požadované pro TPRM pokrývají tři široké oblasti: obchod, rizika a zadávání zakázek. Málokdo má však hluboké znalosti všech třech oblastí – a rozhodně ne dostatečné k tomu, aby si poradil s riziky třetích stran, kterým čelí každá organizace v sektoru finančních služeb.
Jak řešit výzvu v souvislosti s TPRM
Jedním z přístupů je vytvoření interního nástroje pro zadávání zakázek, který bude schopen zpracovat všechny relevantní informace ve vztahu k TPRM a předat je zpět vedoucím pracovníkům, kteří budou činit rozhodnutí ohledně třetích stran. Relevantní informace by se mohly vztahovat na oblasti, jako jsou související typy rizik, kontroly a zmírňující faktory. Lidé s rozhodovací pravomocí pak mohou tyto informace použít před rozhodnutím, která potenciální třetí strana má smlouvu vyhrát.
Vytvoření takového nástroje vyžaduje kulturní posun a implementaci programu řízení změn, aby se zajistilo, že všichni zúčastnění rozumí svým rolím, povinnostem a informacím ohledně TPRM. Rovněž je třeba pečlivě promyslet, jak správně představit interní zprávu o rizicích. Nikdo s rozhodovací pravomocí neocení – ani nepoužije – 100stránkovou zprávu. Na druhou stranu se může stát, že na straně s nejdůležitějšími informacemi bude chybět smysluplný obsah.
Nalezení správné rovnováhy vyžaduje soudnost. To samo o sobě komplikuje rostoucí počet informačních zdrojů o TPRM dostupných bankám a firmám poskytujícím finanční služby - což přináší nebezpečí informačního přetížení. Rostoucí počet poskytovatelů služeb nyní nabízí datové zdroje o řadě témat v souvislosti s rizikem, jako je finanční zdraví podniků, změny vlastnictví nebo přítomnost na seznamech sankcí. Výzvou pro přijímající instituce je najít způsoby, jak učinit všechny obdržené informace smysluplné.
V budoucnu očekáváme, že firmy poskytující finanční služby přijmou přístup k TPRM, který se stále více orientuje na data, je proaktivní a akčně zaměřený a využívá silné stránky strojového učení (ML) a umělé inteligence (AI). Představte si například, že vaše firma má v Chennai klíčovou třetí stranu. Rovněž si představte, že předchozí vlna tsunami ve východní Asii vyústila o dva dny později v záplavu v Chennai. Na základě těchto znalostí by mělo dojít k automatickému varování, které by vyžadovalo, aby se podnik obrátil na třetí stranu v Chennai a zajistil tak možnost pomoci, pokud dojde k podobné vlně tsunami.
Takový přístup není pouze proaktivní, ale i akčně orientovaný. Namísto množství stránek plných informací systém TPRM generuje požadavek k akci. Zajišťuje, aby lidé v podniku s určitou odpovědností za TPRM - kteří nemusí být odborníky na rizika – rozuměli tomu, co musí udělat a kdy to udělat mají.
Jak se tento nový styl TPRM vyvíjí, tradiční a přímá metoda získávání informací – provádění návštěv na místě a dotazování třetích stran, aby poskytovaly odpovědi na otázky týkající se všech relevantních otázek, od hesel pro zabezpečení dat až po politiky týkající se moderního otroctví – bude postupně, alespoň částečně, vyměněna. Vždy bude třeba pravidelně vyhodnocovat řízení rizik, zejména u zásadních a vysoce rizikových třetích stran. Poskytovatelé služeb s nízkým rizikem by však mohli být potenciálně efektivněji řízeni novými způsoby založenými na technologiích a na datech.
Technologie je důležitá nejen ve smyslu strojového učení a umělé inteligence. Není to jediná odpověď, protože lidé a procesy jsou také klíčové. Bylo by však užitečné vyvinout komplexní technologický stack, který usnadní TPRM napříč třemi obrannými liniemi. Takový celopodnikový systém řízení rizik by musel propojit systémy od finančních záležitostí po zadávání zakázek ve vztahu k riziku, se schopností shromažďovat všechny relevantní údaje. Musí být škálovatelný, flexibilní a schopný propojit všechny různé datové zdroje, aby poskytl smysluplné a použitelné informace. To, co vidět nechceme, je vývoj nového domáckého průmyslu ve zprávách TPRM.
Přístup k TPRM, který si osvojí technologii, by také mohl potenciálně pomoci vyřešit výzvu ohledně „třetí strany“. Například prostřednictvím shromažďování a analýzy údajů je možné zmapovat potenciální rizika spojená se čtvrtými stranami. Tyto informace lze sdílet s třetími stranami v řetězci mezi vaší organizací a čtvrtými stranami – což jim pomáhá zajistit, aby získaly správné informace ohledně TPRM, a tak účinněji řídit rizika.
Spolu s rostoucím využíváním dat a technologií je spolupráce dalším důležitým trendem na scéně TPRM. Organizace finančních služeb, stejně jako interní služby, stále více zkoumají potenciál externích služeb, které jim pomáhají řídit rizika třetích stran. Pokud firmy používají mnoho stejných třetích stran, neexistuje žádná konkurenční výhoda, která by se dala získat samostatně díky TPRM. Místo toho by spolupráce při sdílení informací mohla celý proces zefektivnit a snížit náklady.
U některých z těchto vývojů bude nějakou dobu trvat, než budou na vyspělé úrovni a budou široce zpřístupněny nebo přijaty. Mezitím jsou organizace finančních služeb podporovány k tomu, aby se znovu podívaly na svůj současný přístup k TPRM. Prostřednictvím jaké činnosti se vaše firma zavazuje sledovat a řídit svá rizika třetích stran?
Jaké zprávy o těchto rizicích podává? A jak tyto informace ovlivňují rozhodování vrcholového vedení? Odpověď na takové otázky může pomoci zajistit, aby se stále důležitější výzva ohledně TPRM náležitě řešila.
