4 min. czytania 24 cze 2020
ey-jak-covid-19-zmieni-zarzadzanie-ryzykiem-stron-trzecich

Jak COVID-19 zmieni zarządzanie ryzykiem stron trzecich?

Autorzy
Paweł Flak

EY Polska, Risk Consulting, Partner

Praktyk z 20-letnim doświadczeniem w dziedzinie zarządzania ryzykiem finansowym.

EY Polska

Firma doradcza. Audyt, doradztwo podatkowe, consulting, strategia i transakcje.

Firma EY jest światowym liderem rynku usług profesjonalnych obejmujących usługi audytorskie, doradztwo podatkowe, consulting oraz doradztwo strategiczne i transakcyjne.

4 min. czytania 24 cze 2020

Wybuch pandemii COVID-19 uwypuklił istotność relacji z podmiotami trzecimi. Dla efektywnego zarządzania ryzykiem stron trzecich (TPRM) kluczowe jest zrozumienie obecnych zależności i przeprowadzenie oceny ich ryzyka z punktu widzenia ciągłości świadczonych usług oraz ich krytyczności.

Ten artykuł wchodzi w skład Biuletynu Ryzyka

Instytucje finansowe działają w środowisku powiązań i są zależne od wielu stron trzecich. Pozwala to osiągać korzyści poprzez wzrost efektywności kosztowej realizowanych procesów i koncentrację na podstawowej działalności generującej przychody. Z drugiej jednak strony stanowi istotne ryzyko zakłóceń dla prowadzonej działalności. Materializacja tego ryzyka może oznaczać istotny spadek przychodów, zagrożenie dla ciągłości świadczonych usług i spełnienia wymagań regulacyjnych.

Wybuch pandemii COVID-19, a w konsekwencji szybko ewoluujące globalne zagrożenie wzbudziło uzasadnione obawy dotyczące odporności instytucji finansowych. Wzajemne powiązania dzisiejszego środowiska biznesowego i powszechność korzystania z usług zewnętrznych dostawców, począwszy od klasycznych łańcuchów dostaw kończąc na świadczeniu kluczowych usług biznesowych, stwarza istotne ryzyko, które może wpłynąć na znaczną utratę dochodów instytucji. Zgodnie z wynikami globalnej ankiety EY w zakresie zarządzania ryzykiem stron trzecich, aż przeszło 40% organizacji doświadczyło naruszenia danych spowodowanego przez stronę trzecią. Ze względu na zmiany i zakłócenia w środowisku kontrolnym należy się spodziewać, że występowanie tego rodzaju incydentów jeszcze bardziej nasiliło się w trakcie pandemii COVID-19.

Wśród procesów, które powinny zostać poddane ocenie i potencjalnemu ulepszeniu należy wskazać: procesy produktowe, procesy IT, procesy związane z cyberbezpieczeństwem, procesy HR oraz proces sprawozdawczości finansowej. Instytucje powinny również zwracać uwagę na tzw. ukryte ryzyka związane ze stronami trzecimi np. dotyczące korzystania z aplikacji mobilnych przed dostawców w celu organizacji pracy zdalnej.

Znalezienie równowagi pomiędzy ryzykiem a korzyściami wynikającymi z korzystania z usług stron trzecich od zawsze było istotnym wyzwaniem dla niemal każdego banku. Co więcej, w czasie kryzysu spowodowanego pandemią COVID-19 ryzyko wynikające z outsourcowania czynności znacznie wzrosło. W związku z tym dotychczas przyjęte podejście do zarządzania ryzykiem stron trzecich może okazać się niewystarczające zarówno podczas kryzysu, jak i po jego ustąpieniu. Oznacza to, że organizacje będą zobowiązane do przeprowadzenia przeglądu przyjętego modelu współpracy ze stronami trzecimi w celu zapewnienia ciągłości świadczenia usług i bezpieczeństwa danych. powierzanych i/lub outsourcowanych usług.

Działania do podjęcia

Instytucje finansowe powinny podjąć szereg działań w zakresie zarządzania ryzykiem stron trzecich. W pierwszej kolejności działania powinny koncentrować się na identyfikacji powstałych ryzyk i ograniczeniu bezpośredniego zagrożenia związanego z odpornością operacyjną kluczowych dostawców usług. Wśród nich można wskazać organizację bezpiecznego środowiska do pracy zdalnej czy zaadresowanie obaw dot. stabilności finansowej instytucji.

W kolejnym etapie, w okresie stabilizacji sytuacji gospodarczej, instytucje finansowe powinny skupić się głównie na bieżącym monitorowaniu dostawców usług oraz zrozumieniu ich sposobu funkcjonowania, w tym zmian w ich środowisku kontrolnym w trakcie kryzysu.

W długim termin z kolei organizacje powinny dokonać weryfikacji skuteczności dotychczas przyjętego modelu współpracy ze stronami trzecimi i podjęcia decyzji nt. jego ewentualnej zmiany. Wyzwanie, z którym mierzy się większość organizacji polega na osiągnieciu powyżej opisanych celów i działań z uwzględnieniem ciągłych zmian w środowisku gospodarczym.

Podejścia do zarządzania ryzykiem stron trzecich

Obecnie organizacje stosują bardzo zróżnicowane podejścia do zarządzania ryzykiem stron trzecich. Na polskim rynku czynności wykonywane w ramach procesu zarządzania ryzykiem stron trzecich często są rozproszone, odbywają się w wielu jednostkach. Ponadto, proces ten w wielu organizacjach wykonywany jest w sposób manualny. Obecnie zaledwie kilka banków lokalnych posiada wdrożone narzędzia wspierające automatyzację procesu zarządzania ryzykiem stron trzecich. Wierzymy, że wykorzystanie technologii znacząco ułatwi zarządzanie procesem i zwiększy jego efektywność.

Warto zauważyć, że strony trzecie stanowią integralną część nowoczesnego biznesu. Korzyści, jakie przynoszą instytucjom poza tymi czysto finansowymi to również specjalistyczna wiedza i wsparcie operacyjne, co uwidoczniła pandemia COVID-19. Jeżeli obecne podejście instytucji do zarządzania relacjami ze stronami trzecimi nie zostanie dostosowane do powstałych zmian, może to spowodować zwiększone ryzyko, zwłaszcza w sytuacji kolejnego kryzysu. Scentralizowane, oparte o technologie podejście do TPRM, umożliwi skuteczniejsze i szybsze zarządzanie ryzykiem stron trzecich, a także zapewni większe bezpieczeństwo i przejrzystość w tym zakresie.

Więcej informacji o TPRM w dobie COVID-19 w załączonych prezentacjach

Podsumowanie

Pandemia COVID-19 obnażyła luki w łańcuchach dostaw i fragmentaryczne podejście do zarządzania ryzykiem stron trzecich przez niektóre organizacje. Zaraz po ustąpieniu pierwszej fali kryzysu instytucje powinny przystąpić do przeprowadzenia ponownej oceny swoich dostawców usług, a także weryfikacji czy proponowane przez nich rozwiązania są wystarczająco bezpieczne i skuteczne w nowej rzeczywistości.

Kontakt

Chcesz dowiedziec sie wiecej?

Skontaktuj sie z nami.

Informacje

Autorzy
Paweł Flak

EY Polska, Risk Consulting, Partner

Praktyk z 20-letnim doświadczeniem w dziedzinie zarządzania ryzykiem finansowym.

EY Polska

Firma doradcza. Audyt, doradztwo podatkowe, consulting, strategia i transakcje.

Firma EY jest światowym liderem rynku usług profesjonalnych obejmujących usługi audytorskie, doradztwo podatkowe, consulting oraz doradztwo strategiczne i transakcyjne.

  • Facebook
  • LinkedIn
  • X (formerly Twitter)