Zarządzanie odpornością stron trzecich

Na czym stoimy…

Wcześniejsze badania Deloitte dotyczące TPRM (Third-Party Risk Management) z lat 2016-2019 pokazały jak wiele firm zaczęło opracowywać plany ciągłości działania i usuwania skutków awarii w odniesieniu do swoich sieci relacji ze stronami trzecimi. Plany te, wraz z rozwojem konkretnych procesów i funkcji, pomogły wypracować konkretne scenariusze na wypadek zakłóceń w relacjach z podmiotami zewnętrznymi, np. niezdolności kluczowego dostawcy do wypełnienia zobowiązań umownych.

W miarę jak przedsiębiorstwa w coraz większym stopniu zaczęły wykorzystywać podmioty zewnętrzne do zadań strategicznych, a nie tylko dla potrzeb taktycznej redukcji kosztów lub innych krótkoterminowych celów, te podejmowane początkowo środki przestały przystawać do zagrożeń oraz rosnących krytycznych zależności. To z kolei stopniowo doprowadziło do sytuacji, w której firmy zmagały się z nowymi zagrożeniami w coraz szerszym spektrum obszarów ryzyka (np. ryzyka geopolitycznego, koncentracji geograficznej lub koncentracji dostawców, kontroli eksportu i sankcji), a także z rosnącymi konsekwencjami niepowodzenia.

Firmy w sposób świadomy przygotowały się na niektóre z powyższych niebezpieczeństw wprowadzając odpowiednie technologie i procesy zarządzania ryzykiem. Jednak wielu z tych zagrożeń nie traktowano priorytetowo, dopóki COVID-19 nie uwypuklił ogromnego strategicznego wpływu niewywiązania się ze zobowiązań przez strony trzecie oraz tego, jak szybko ryzyko w tym zakresie może się zmaterializować (dotyczy to zwłaszcza zagrożeń z racji wykorzystania technologii działających w czasie rzeczywistym w usieciowionym środowisku, w związku z używaniem usług w chmurze (CSP – Cloud Service Provider).

Jak rozwija się odporność na zagrożenia związane ze stronami trzecimi

Nasze tegoroczne badanie TPRM Survey jasno wskazuje na postępy w zakresie wzmacniania odporności na zagrożenia związane ze stronami trzecimi w powyższym kontekście. Średnio 60 proc. respondentów uważa, że odporność i planowanie ciągłości działania jest raczej mocną stroną organizacji, w której pracują, a nie oznaką jej słabości.

Nie jest zaskoczeniem, że sektor usług finansowych - z racji nacisków regulacyjnych - przoduje w tym względzie. W przypadku jednostek reprezentujących ten sektor odsetek respondentów, którzy zgadzają się powyższą tezą wynosi aż 73% - to znacznie więcej niż średnia w innych branżach. Na drugim biegunie zestawienia są przedstawiciele jednostek rządowych i sektora publicznego - tylko 41 proc. z nich podziela tę opinię. Perspektywa regionalna charakteryzuje się większym zróżnicowaniem. 68 proc. respondentów z regionu EMEA (Europy, Bliskiego Wschodu i Afryki) twierdzi, że zarządzanie ciągłością działania i odpornością jest mocną stroną ich organizacji - to więcej niż w obu Amerykach (59 proc.) i w regionie APAC (Azja-Pacyfik) - 52 proc.

Jednak bardziej szczegółowa analiza prowadzi do wniosku, że tylko 36 proc. respondentów ma duże lub bardzo duże możliwości zarządzania sytuacjami awaryjnymi wynikającymi z działania w ramach rozszerzonego przedsiębiorstwa. Dotyczy to również sytuacji wynikających z kontroli eksportu lub sankcji. Więcej niż jeden na pięciu (21 proc.) respondentów deklaruje niskie lub nawet bardzo niskie możliwości w tym zakresie, podczas gdy pozostałe 43 proc. twierdzi, że są one w najlepszym wypadku umiarkowane.

Atestacja odporności na zagrożenia w łańcuchu dostaw

Okresowe przeglądy planów ciągłości działania stron trzecich, które oceniają ich poziom dostosowania do planów ciągłości działania firmy, wydają się być najbardziej popularną (46 proc.) metodą atestacji odporności stron trzecich na zagrożenia. Jedną z kwestii o rosnącym znaczeniu, którą uwzględnia się w takich przeglądach jest konieczność przeprowadzenia „scenariuszowych testów warunków skrajnych” istniejących relacji z podmiotami zewnętrznymi i ich planów ciągłości działania. Pomaga to ustalić progi tolerancji. Przedsiębiorstwa przygotowują też plany wyjścia obejmujące scenariusze zakończenia relacji w warunkach stabilnych i niestabilnych, a także ustanawiają programy testowe do okresowego ich testowania.

Firmy potwierdzają również odporność współpracujących podmiotów zewnętrznych na podstawie certyfikatów/raportów atestacyjnych przygotowanych przez niezależnych kontrolerów zewnętrznych (42 proc.) lub też wprowadzają wzmożone kroki nadzorcze (bardziej rygorystyczne i o zwiększonej częstotliwości) w zakresie uzgodnień ze stronami trzecimi, stanowiących podstawę krytycznych usług biznesowych (41 proc.). Jednak tylko jeden na trzech respondentów (34 proc.) wskazał, że korzysta z rozwiązań technologicznych w celu lepszego zrozumienia ekosystemu istotnych relacji ze stronami trzecimi, w tym miejsca ich działania. Równie niewielki odsetek respondentów korzysta z narzędzi do monitorowania odporności i trendów w czasie rzeczywistym (tj. analizy ryzyka, monitorowania negatywnych przekazów medialnych) czy też opracowuje bądź już posiada kompleksowe strategie wyjścia dotyczące istotnych partnerstw ze stronami trzecimi (odpowiednio 35 i 32 proc.).

Chociaż we wszystkich segmentach branżowych są możliwości poprawy sytuacji, firmy z sektora biomedycznego i ochrony zdrowia, usług finansowych oraz technologii, mediów i telekomunikacji wydają się wychodzić na prowadzenie, bo w bardziej zrównoważony sposób łączą metody weryfikacji odporności stron trzecich. Podobne tendencje można zaobserwować w skali regionu, z wyjątkiem regionu Azji, Australii i Oceanii (APAC), który pozostaje w tyle za regionem Europy, Bliskiego Wschodu i Afryki i oboma Amerykami, jeśli chodzi o uzyskiwanie atestacji w ramach zarządzania odpornością podmiotów w łańcuchu dostaw.

Poziomy zależności od dostawców usług w chmurze

73 proc. badanych zadeklarowało średnie do wysokiego uzależnienie od dostawców usług w chmurze. Można oczekiwać, że w nadchodzących latach odsetek ten wzrośnie do 88 proc. wskazując na pilną konieczność uwzględnienia odporności związanej z tą grupą partnerów zewnętrznych. Więcej niż czterech na dziesięciu respondentów (43 proc.), którzy są zależni od dostawców usług w chmurze woli współpracować z węższą grupą dostawców, ze świadomością związanego z tym ryzyka koncentracji – co wpływa na wzrost znaczenia działań typu due diligence i bieżącego monitorowania. Z drugiej strony, mniej organizacji (30 proc.) współpracuje z większą liczbą dostawców usług chmurowych stosując to podejście jako rodzaj strategii zwiększającej odporność firmy. Chociaż wielu respondentów nie było w stanie wyrazić swoich preferencji w tym względzie, trend jest dość wyraźny: rosnąca zależność od dostawców usług w chmurze oraz preferowanie współpracy z węższą grupą dostawców to cechy dominujące we wszystkich branżach i regionach geograficznych.

Punkt widzenia i prognozy Deloitte

W tradycyjnym ujęciu odporność osiągano dzięki planom, procedurom oraz zapewnieniu zgodności z przepisami i wymogami - tak rozumiana odporność koncentrowała się na działaniach związanych z odtworzeniem czy też przywróceniem sprawności aktywów organizacyjnych w sytuacji kryzysowej. Z rozmów z naszymi klientami wynika jednak, że złożone i poważniejsze wydarzenia (takie jak pandemia czy wojna w Ukrainie) zmuszają przedsiębiorstwa do bardziej elastycznego reagowania na nieznane lub trudne sytuacje. Taki nowy model wymaga inwestycji w rozwiązania technologiczne pozwalające lepiej zrozumieć ekosystem istotnych relacji z podmiotami zewnętrznymi, obejmujący też lokalizacje, z których podmioty te działają. Model ten powinny wspierać narzędzia do monitorowania odporności i trendów w czasie rzeczywistym, np. analiza ryzyka, czy monitorowanie niekorzystnych przekazów medialnych.

Ponadto, firmy muszą dalej inwestować na obszarach ryzyka wpływających na odporność, takich jak bezpieczeństwo cybernetyczne, geopolityczne i koncentracja. Będzie to obejmowało opracowanie, utrzymanie i testowanie w warunkach skrajnych kompleksowych strategii zapewnienia ciągłości działania i wyjścia oraz planów dotyczących istotnych (krytycznych) relacji ze stronami trzecimi. Wielu szefów firm zdaje sobie sprawę, że nie wystarczy polegać na strategiach reagowania, jeśli firma ma być przygotowana na potencjalne braki wykwalifikowanych pracowników i szybkie tempo zmian, jakie wymuszają nagłe wstrząsy i przyszłe wyzwania. Włączenie zarządzania ciągłością działania do planu rozwoju odporności operacyjnej to za mało. Potrzebne są również szczegółowe scenariusze wariantowe na wypadek, gdyby nie udało się odzyskać zasobów organizacyjnych. Na przykład w sektorze usług finansowych regulacje prawne, które wyraźnie koncentrują się na odporności operacyjnej, zmuszają instytucje finansowe do wskazania stron trzecich, które stanowią podstawę ważnych usług biznesowych (IBS) w celu stworzenia planów pozwalających utrzymać zakłócenia w granicach uzgodnionych poziomów tolerancji. Wykorzystanie technologii będzie w tym względzie kluczowe dla potrzeb przewidywania i reagowania na takie scenariusze wariantowe w sposób bardziej zintegrowany i holistyczny - potwierdzają to też priorytety wskazane przez respondentów naszego badania.

Oprócz wyżej wskazanych inwestycji technologicznych, specjaliści Deloitte przewidują, że podejście do odporności stron trzecich będzie zarówno bardziej defensywne, jak i bardziej postępowe w budowaniu zdolności organizacyjnych w zakresie elastyczności, adaptacji, uczenia się i regeneracji. Dzięki temu firmy będą w stanie poradzić sobie z bardziej złożonymi i dotkliwymi wydarzeniami, jednocześnie nie zmieniając wcześniej zdefiniowanych celi strategicznych na przyszłość. Wyzwania związane z adaptacją wzmaga niepewny, złożony, wysoce wymagający i szybko zmieniający się klimat, w którym obecnie działa większość firm. Możliwym rozwiązaniem jest zidentyfikowanie systemowo ważnych podmiotów zewnętrznych i wprowadzenie spójnych standardów odporności dla poszczególnych sektorów lub lokalizacji, zamiast robić to indywidualnie. Taka strategia może wiązać się z bardziej szczegółowymi konsultacjami regulacyjnymi w sektorach silniej regulowanych, takich jak sektor usług finansowych.