Główne post-pandemiczne trendy w obszarze zarządzania ryzykiem stron trzecich

Obserwowany od dłuższego czasu wzrost zainteresowania kierownictwa i zwiększenie inwestycji w systemy zarządzania ryzykiem stron trzecich (ang. Third Party Risk Management, TPRM) napędza proces transformacji biznesowej wielu organizacji. Wśród podejmowanych działań przedsiębiorstwa skupiają się przede wszystkim na wprowadzeniu bardziej przemyślanej segmentacji stron trzecich, zwróceniu większej uwagi na sprzedaż dokonywaną przez strony trzecie (tym samym poszerzając tradycyjne podejście ograniczone głównie do kupujących) oraz na zastosowaniu zintegrowanych rozwiązań technologicznych z myślą o poprawie wydajność i zmniejszeniu kosztów. Przedsiębiorstwa w dalszym ciągu borykają się jednak z osiągnięciem właściwego poziomu dojrzałości TPRM. Wynika to głównie z większego zrozumienia ograniczonego stopnia gotowości do reagowania na zagrożenia związane z nowymi obszarami ryzyka, a w szczególności tymi, które występują na niższych poziomach relacji ze stronami trzecimi.

Wyniki ogólnej samooceny dojrzałości procesu zarządzania ryzykiem stron trzecich, której dokonali respondenci badania TPRM Survey 2022, przeprowadzonego przez Deloitte, wskazują na nowe obszary ryzyka (takie jak sytuacja geopolityczna czy zmiany klimatyczne), z którymi przyszło się im zmierzyć na różnych poziomach relacji z podwykonawcami.
 

Zmiany w obszarze zarządzania ryzykiem stron trzecich

Nie ma wątpliwości, że pandemia przyczyniła się do szybszego wprowadzenia zmian transformacyjnych w zarządzaniu siecią stron trzecich. W niniejszym rozdziale przestawiamy najciekawsze wnioski płynące z analizy porównawczej, którą przeprowadziliśmy w ramach naszego badania. Ukazują one zmiany trendów, jakie zaszły w obszarze zarządzania ryzykiem stron trzecich od czasu pandemii.

• Segmentacja stron trzecich
  
  Większość respondentów naszego badania (55%) jest zdania, że aby zapewnić odpowiedni poziom zaangażowania w zarządzanie ryzykiem stron trzecich, należy dokonać segmentacji stron trzecich w oparciu o poziomy ryzyka. Tego rodzaju praktyka staje się tym bardziej uzasadniona, że przedsiębiorstwa, w miarę rozwoju swojej działalności, poszerzają grono podmiotów, z którymi współpracują w ramach swoich programów TPRM.
  
  Obecny trend odzwierciedla dużą zmianę, która nastąpiła w ciągu trzech ostatnich lat. Jeszcze w 2019 roku aż 85% respondentów twierdziło, że nie są w stanie zapewnić odpowiedniego poziomu zaangażowania. Wówczas głównym problemem był brak zrozumienia obszaru zarządzania stronami trzecimi (50%), a zaraz po nim brak pełnego zrozumienia warunków umownych (43%).
  
  Wyniki tegorocznego badania potwierdzają, że przedsiębiorstwa zaczęły przykładać większą wagę do segmentacji stron trzecich. Najważniejszy poziom odnotowano w sektorze usług finansowych (74%), nauk biologicznych i ochrony zdrowia (64%) oraz w branży technologii, mediów i telekomunikacji (56%).
  
  Natomiast z perspektywy geograficznej, jedynie 34% respondentów z regionu Azji i Pacyfiku dokonuje segmentacji stron trzecich w oparciu o poziomy ryzyka, podczas gdy w Ameryce Północnej i Południowej robi to 64% przedsiębiorstw, a w Europie i na Bliskim Wschodzie oraz w Afryce 79%. W ocenie ponad trzech czwartych organizacji (78%) odsetek stron trzecich o istotnym znaczeniu dla ich przedsiębiorstw wynosi nie więcej niż 20% całej populacji ich stron trzecich. Jednocześnie 59% tychże respondentów przyznało, że skupiają się na najwyżej 10% stron trzecich, które w ich ocenie mają największy wpływ na funkcjonowanie przedsiębiorstwa i stanowią najwyższe potencjalne ryzyko.
  
  
• Koncentracja na sprzedaży dokonywanej przez strony trzecie
  
  Obecnie stronom trzecim dokonującym sprzedaży przypisuje się wyższy poziom ryzyka, co z kolei prowadzi do zwiększenia zakresu zainteresowania dostawcami. Coraz częściej strony trzecie dokonujące sprzedaży (42%) są postrzegane jako podmioty charakteryzujące się wysokim poziomem ryzyka, co stanowi dopełnienie tradycyjnego podejścia do dostawców dóbr i usług. Jest to powszechny trend, który można zaobserwować we wszystkich regionach i segmentach gospodarki, które stają się coraz bardziej zależne od stron trzecich w zakresie działań sprzedażowych i kanałów dystrybucji, czy też osiągania dodatkowych przychodów. Dlatego też nie jest zaskoczeniem, że spośród wszystkich sektorów branża nauk biologicznych i ochrony zdrowia (56%) ma największe obawy związane z koniecznością skupienia się na sprzedaży dokonywanej przez sieć stron trzecich, podczas gdy na przykład sektor publiczny wykazuje mniejsze obawy (33%); tam z kolei większą wagę przykłada się do stron trzecich dokonujących zakupu.
  
  
• Priorytety
  
  Jako główny priorytet na nadchodzący rok większość respondentów wymieniła uproszczenie, standaryzację oraz zintegrowanie rozwiązań technologicznych w celu poprawy skuteczności i redukcji kosztów (61%). Wśród pozostałych obszarów, które wymagają uwagi, 52% przedsiębiorstw wskazało nowe zagrożenia, kwestie ESG lub zdarzenia geopolityczne. Z kolei 47% zamierza zwiększyć poziom scentralizowanej kontroli nad procesem zarządzania stronami trzecimi, w tym zapewnić pełny wgląd w działalność stron trzecich.
  
  Po raz kolejny potrzeba uproszczenia, standaryzacji i zintegrowania rozwiązań technologicznych w celu poprawy skuteczności i redukcji kosztów jest wymieniana jak wspólny priorytet we wszystkich segmentach i pod każdą szerokością geograficzną. Jedynym wyjątkiem jest branża konsumencka, która na ten rok wyznaczyła sobie za cel zrewidowanie swoich dotychczasowych docelowych modeli operacyjnych (TOM), aby zwiększyć zakres scentralizowanej kontroli w obszarze TPRM.
  
  Wyniki badania wskazują, że wnioski wyciągnięte w trakcie pandemii skłoniły przedsiębiorstwa do dokonania ponownej oceny dojrzałości swoich procesów TPRM. Okazało się bowiem, że wiele spółek zbyt optymistycznie oceniło swój poziom dojrzałości i musiało wprowadzić odpowiednie korekty do wcześniejszych założeń. W rezultacie, w 2022 roku można było zaobserwować wzrost liczby przedsiębiorstw o niskimi poziomie dojrzałości oraz mniejszą liczbę firm z wysokim poziomem dojrzałości. Jednym z obserwowanych obecnie trendów jest położenie większego nacisku na relacje ze stronami trzecimi/czwartymi/piątymi z niższych szczebli łańcucha dostaw oraz zwracanie większej uwagi na zagrożenia związane z nowymi obszarami ryzyka. Warto podkreślić, że aż 83% respondentów uważa, iż ich organizacje mają słaby, a w najlepszym przypadku, umiarkowany wgląd w działalność sieci stron trzecich, z którymi współpracują, powyżej pierwszego poziomu dostawców (tj. strony czwarte/piąte i podwykonawcy).
  
  W tym roku jedynie 15% respondentów deklaruje, że osiągnęło poziom 4 lub 5 (integracja lub optymalizacja) na pięciopunktowej skali dojrzałości, o której pisaliśmy w poprzednich częściach cyklu. Jest to istotny spadek (aż o 11 p.p.) w porównaniu do wyników naszego badania z 2021 roku, kiedy to pytaliśmy o ocenę poziomu dojrzałości sprzed pandemii. Jednocześnie 53% respondentów znajduje się na etapie dwóch pierwszych faz (poziom wstępny lub etap definiowania), co stanowi wzrost z poziomu 28%, odnotowanego przed pandemią COVID-19. W podziale na poszczególne branże pozycję lidera w dalszym ciągu utrzymuje sektor usług finansowych (23% przedsiębiorstw osiągnęło poziom 4 lub 5), zaraz za nim plasuje się sektor technologii, mediów i telekomunikacji (17%), podczas gdy sektor publiczny deklaruje jedynie 7%.
  
  
• Obszary ryzyka wymagające koncentracji i uwagi
  
  Konkretne obszary ryzyka, którym już w przeszłości poświęcało się dużo uwagi, czyli cyberbezpieczeństwo i ochrona danych, nadal wymagają zwiększonego zainteresowania. Natomiast wśród obszarów ryzyka, z którymi przedsiębiorstwa radzą sobie najsłabiej, wymieniono zarządzanie ryzykiem geopolitycznym (61%), ryzykiem zmian klimatu (55%), ryzykiem podwykonawcy (55%) oraz ryzykiem koncentracji (53%). Wojna w Ukrainie, która wybuchła już po przeprowadzeniu badania, z pewnością wzbudziła jeszcze większe obawy związane z ryzykiem geopolitycznym. Podobnie jest w przypadku neutralności węglowej czy innych ustaleń przyjętych przez przedsiębiorstwa po konferencji klimatycznej COP26, które istotnie wpłynęły na zwiększenie zainteresowania ryzykiem zmian klimatycznych. Jednocześnie warto pamiętać, że realizacja celów określanych przez organy rządowe i same organizacje nie jest możliwa bez uwzględnienia wpływu ekosystemów stron trzecich, ze szczególnym naciskiem na emisję pośrednią powstałą w łańcuchu wartości.
  
  Należy podkreślić, jak niepokojący jest brak zaufania do procesów służących do określania, oceny czy zarządzania ryzykiem podwykonawcy, bowiem wiele różnych obszarów ryzyka może również występować na niższych poziomach łańcucha dostaw lub tam brać swój początek. W tym przypadku sektor rządowo-publiczny wyróżnia się na tle pozostałych. Tylko 7% respondentów będących przedstawicielami sektora rządowo-publicznego rozważa zarządzanie lub zarządza ryzykiem zmian klimatu w ramach swoich ramowych założeń TPRM. Podobny odsetek, bo jedynie 8% przedstawicieli tego samego sektora jest zdania, że zarządzanie ryzykiem koncentracji stron trzecich jest mocnym punktem ich przedsiębiorstw. Odnotowany poziom jest najniższy spośród wszystkich branż.
   

Nasz punkt widzenia i przewidywania

Nie ma wątpliwości, że dla wielu organizacji pandemia COVID-19 była swoistym zderzeniem z rzeczywistością. Uwidoczniła słabości w zakresie TPRM oraz ujawniła potrzebę znalezienia odpowiedzi na wymagające pytania. W ten sposób doszło do gwałtownego spadku ogólnego poziomu dojrzałości w obszarze zarządzania ryzykiem stron trzecich w porównaniu z sytuacją sprzed kilku lat.

Osiągnięcie optymalnego stanu TPRM dla wielu organizacji w dalszym ciągu będzie swego rodzaju ruchomym celem. Wiele przedsiębiorstw nie ustaje w wysiłkach, starając się sprostać rosnącym oczekiwaniom klientów, regulatorów i kadry zarządzającej. W związku z tym pojęcie dobrych praktyk, rozwiązań technologicznych, usług użyteczności publicznej czy usług zarządzanych wraz ze stale pojawiającymi się nowymi obszarami ryzyka (takimi jak ryzyko środowiskowe, ryzyko zmian klimatu czy geopolityczne) nadal będzie ewoluować. To samo dotyczy regulacji, które w naszej ocenie również będą przybierać nowe formy i coraz mocniej koncentrować się na potrzebie lepszej kontroli nad relacjami organizacji z podmiotami trzecimi. To z kolei sprawi, że przedsiębiorstwa będą przeprowadzały ponowne, cykliczne przeglądy uprzednio dokonanej samooceny poziomu dojrzałości.

Ponadto bardzo ważne jest, aby organizacje zrozumiały zależności panujące między podwykonawcami w ekosystemie stron trzecich, które wykraczają poza same łańcuchy dostaw i obejmują licencje, partnerów joint-venture, agentów sprzedaży, dystrybutorów i franczyzobiorców, jak również grupy firm, spółki zależne i podmioty powiązane.

Słowem zakończenia, warto podkreślić, że ustalanie priorytetów w zakresie zarządzania ryzykiem w relacjach ze stroną sprzedającą (w porównaniu do relacji ze stroną kupującą) dla wielu organizacji historycznie nie stanowiło palącej kwestii i dopiero od niedawna zaczyna pojawiać się jako istotny element procesu TPRM. Zmianę podejścia można zauważyć na poziomie wszystkich istotnych działów mających wpływ na ryzyko stron trzecich. Jest to szczególnie widoczne chociażby w obszarze zarządzania cyklem życia umowy (CLM), gdzie większą uwagę zwykle skupiano na stronie kupującej niż sprzedającej.

Takie nastawienie musi przejść transformację. Jednocześnie przedsiębiorstwa powinny odpowiednio zarządzić ryzykiem koncentracji, które zazwyczaj występuje w głębszych warstwach ekosystemu stron trzecich. Brak właściwej kontroli może negatywnie wpłynąć na zdolność do stosowania dyscypliny i rygoru w zakresie zarządzania ryzykiem.