ServiceNow Vendor Risk Management

Na czym polega zarządzanie ryzykiem dostawców?

Sukces rynkowy, niezależnie od branży, w coraz większym stopniu zależy od stale rosnącej, złożonej sieci dostawców. Zależność ta nie ogranicza się wyłącznie do łańcucha dostaw, ponieważ coraz więcej dostawców świadczy usługi o charakterze podstawowym, obejmujące outsourcing, kontraktowanie czy aplikacje działające w chmurze. Globalny system dostawców oferuje ogromne korzyści w formie dostępnych kwalifikacji i redukcji kosztów, jednocześnie wiąże się z równie dużym ryzykiem, dobrze uwidocznionym w czasie światowego kryzysu wywołanego pandemią czy wojną w Ukrainie.

Zarządzanie ryzykiem dostawców polega na ocenie i kontroli ryzyka wynikającego z relacji z nimi we wszystkich obszarach działalności firmy. Jego głównym celem jest minimalizacja zidentyfikowanego ryzyka wynikającego ze współpracy ze wszystkimi podmiotami zewnętrznymi oraz zapewnienie firmie możliwości sprawnego działania z wykorzystaniem partnerskich powiązań ze stronami trzecimi. Aby w kompleksowy sposób zarządzać ryzykiem związanym ze stronami trzecimi potrzebne są sprawdzone narzędzia wspierające ten proces. Właściwe metodologie, efektywne i odporne systemy zarządzania ryzykiem dostawców, uporządkowany proces, a także odpowiednie wsparcie merytoryczne ułatwiają naczelnemu kierownictwu podejmowanie świadomych decyzji.

Działania w ramach zarządzania ryzykiem stron trzecich to m. in.:

• Kwestionariusze ryzyka nieodłącznego
• Weryfikacja ogólna
• Screening i monitoring ryzyka
• Kwestionariusze dotyczące stron trzecich
• Migracja - warunki umowne i inne elementy
• Oceny i audyty - zdalne i na miejscu
• Bieżący monitoring i zarządzanie ryzykiem

Działania z zakresu zarządzania ryzykiem są częścią składową całego cyklu współpracy ze stronami trzecimi.

Cykl współpracy ze stronami trzecimi obejmuje takie fazy jak:

1. Rozpoczęcie i identyfikacja
2. Ocena ryzyka i decyzja
3. Kontraktowanie i wprowadzanie
4. Zarządzanie i monitoring
5. Zakończenie lub przedłużenie

Dlaczego warto zweryfikować podejście i narzędzia wykorzystywane w procesie zarządzania ryzykiem dostawców?

W procesie kontroli i zarządzania ryzykiem wiele firm stosuje podejście reaktywne - podejmują działania tylko wtedy, kiedy istotne zdarzenie, informacja podana przez media lub zmiany regulacyjne wymagają weryfikacji stosowanych procesów i struktur organizacyjnych. Częściowo wynika to z metodologii kontroli ryzyka opartej o zasadę okresowej weryfikacji, jednak w czasach tak dynamicznie zachodzących zmian, podejście reaktywne nie wystarcza. Jak wynika z cyklicznego badania „TPRM Survey” prowadzonego przez Deloitte 87% organizacji w ciągu ostatnich trzech lat doświadczyło zdarzenia z udziałem strony trzeciej,które miało destabilizujący wpływ na ich działalność.

ServiceNow Vendor Risk Management

Jednym z narzędzi wspierających zarządzanie ryzykiem stron trzecich jest ServiceNow Vendor Risk Management - system ten ułatwia przedsiębiorstwom zarządzanie ryzykiem dostawców oferując scentralizowany proces zarządzania portfelami dostawców, oceny ich ryzyka, w tym podziału na odpowiednie poziomy, a także realizacji procedur zaradczych. Dzięki ServiceNow VRM przedsiębiorstwo może zautomatyzować realizację prostych zadań wykonywanych ręcznie, takich jak wysyłanie, śledzenie i przetwarzanie ocen ryzyka dostawcy. Może zostać zintegrowana z innymi systemami, jak BitSight Technologies czy SecurityScorecard, które umożliwiają pomiar i monitoring stanu bezpieczeństwa dostawcy. Istotne zmiany w punktacji bezpieczeństwa automatycznie uruchamiają ocenę ryzyka dostawcy w dążeniu do redukcji ekspozycji na to ryzyko. Zautomatyzowane procesy pozwalają na skrócenie czasu dokonywania oceny, co umożliwia pracownikom organizacji poświęcenie czasu na zadania o wartości dodanej. Dzięki integracji modułu VRM powstaje obszar roboczy przeznaczony wyłącznie do zarządzania dostawcami. Takie funkcjonalności, jak możliwość tworzenia raportów od ręki oraz tablic wyników, sprzyjają przejrzystości i umożliwiają skuteczny monitoring ryzyka dostawców, dostosowany do specyfiki użytkownika.

Najważniejsze cechy produktu

• Obszar roboczy uwzględnia archetypy użytkownika, obejmuje tablice wyników, które można dostosować do indywidualnych potrzeb oraz system sprawozdawczy, umożliwiający wgląd w strukturę poziomów dostawców, plany oceny ryzyka i poziomów, kwestie niezałatwione oraz poziom ryzyka w całym systemie współpracy z dostawcami.
• Scentralizowany proces zarządzania portfelami dostawców, w tym możliwość ustalania hierarchii dostawców w przypadku współpracy z kilkoma jednostkami powiązanymi.
• Kontakty z dostawcami są scentralizowane w formie przyjaznego dla użytkownika portalu dostawcy, co eliminuje konieczność korzystania z poczty elektronicznej i sprawdzania statusu np. w arkuszach Excel.
• Każdemu dostawcy można przesłać dotyczącą go ocenę ryzyka zgodnie z ustalonym harmonogramem, doraźnie lub automatycznie, w wyniku początkowej oceny poziomu, ręcznej zmiany poziomu lub zmiany punktacji bezpieczeństwa.
• Współpraca między komórkami organizacyjnymi przy rozwiązywaniu problemów wynikających z dokonanej oceny. 

ServiceNow jest systemem wyposażonym w nowoczesny, wysoce intuicyjny interfejs, dostępny również na urządzeniach mobilnych. Umożliwia integrację wszystkich komórek organizacyjnych, a zatem przekazywanie kierownictwu klarownych i prostych informacji za pomocą łatwych w obsłudze narzędzi, co pozwala tworzyć raporty w czasie realnym. System uwzględnia kontekst ryzyka dostawcy - wbudowuje je w procesy zachodzące w firmie i łączy z użytkownikami. Automatyczne gromadzenie, przetwarzanie i analiza danych oznacza mniej pracochłonny proces zarządzania ryzykiem dostawców. Ułatwia podejmowanie decyzji podnosząc jakość informacji, dzięki użyciu wspólnego modelu danych i możliwości konfiguracji procesu monitorowania ryzyka.

System łatwo integruje się z innymi produktami ServiceNow, tworząc harmonijnie działającą infrastrukturę uwzględniającą możliwości systemu informatycznego, zabezpieczenia i GRC. Aplikacja VRM jest częścią modułu GRC (Governance, Risk and Compliance), w której skład wchodzą:

• Operational Risk Management
• Policy and Compliance Management
• Risk Management
• Continuous Authorization and Monitoring
• Operational Resilience Management
• Regulatory Change Management
• Audit Management
• Use Case Accelerators
• Performance Analytics
• Virtual Agent (chatbot)
• Predictive Intelligence

będące częścią pakietów IRM, a także

• Privacy Management
• Vendor Risk Management
• Business Continuity Management

które są licencjonowane oddzielnie.

Deloitte wykorzystuje posiadane doświadczenie technologiczne i znajomość branży, by ułatwić klientom efektywne wykorzystanie tej wyjątkowej technologii – nasi eksperci chętnie zaprezentują Państwu wszystkie korzyści jakie może przynieść zweryfikowanie procesu zarządzania ryzykiem stron trzecich i zastosowanie aplikacji VRM w Państwa organizacji.