Bądź odpowiedzialny i efektywny. Znajdź złoty środek.

Od pięciu lat Deloitte przeprowadza coroczne badanie dotyczące zarządzania ryzykiem w przedsiębiorstwach rozszerzonych (Extended Enterprise – EE). W najnowszej edycji badania wzięło udział 1145 uczestników z 20 krajów. W oparciu o jego wyniki Deloitte przygotował raport obrazujący główne trendy i wyzwania stojące przed firmami w tym obszarze. Tegoroczny raport jest szczególny, gdyż oprócz ankiet zebranych w okresie listopad 2019 – styczeń 2020, uwzględnia również pozyskane w terminie późniejszym informacje o sposobach reagowania przedsiębiorstw i ich współpracowników na dynamicznie zmieniającą się sytuacją związaną z epidemią COVID-19.

Zmiany w prawie

Wzrost regulacji prawnych i związanych z nimi wymagań dla firm przyczynia się do zwiększenia zainteresowania przedsiębiorstw kwestią zarządzania ryzykiem stron trzecich, jak również wzmacnia działania firm mające na celu podniesienie poziomu ich dojrzałości w tym obszarze. Te organizacje, które nie potrafią nadążyć za zmieniającymi się zasadami funkcjonowania, pozostają w tyle za swoimi rywalami i tracą przewagę kompetencyjną. Według wyników badania, w ostatnim roku prawie 45% firm zwiększyło swoje nakłady na zarządzanie ryzykiem w związku z rosnącą presją ze strony regulacji prawnych. Mają one coraz szerszy zasięg i wykraczają poza dotychczas regulowane obszary. W zakresie regulacji znajdują się nie tylko takie obszary jak korupcja i łapówki, ale także przestrzeganie nałożonych sankcji (również międzynarodowych), dbanie o odpowiednie warunki pracy (np. Modern Slavery Act w Wielkiej Brytanii), przestrzeganie zasad ochrony danych osobowych (RODO), ale też nadchodzące regulacje dotyczące wykorzystania przetwarzania danych w chmurze oraz zmian klimatycznych. Rozszerzający się zakres uprawnień regulacyjnych idzie w parze ze wzrostem kontroli ich przestrzegania. Przekłada się to też na stopień oceny dojrzałości zarządzania ryzykiem stron trzecich przez firmy – i nie wszystkie organizacje mogą powiedzieć, że udało im się utrzymać zeszłoroczny poziom dojrzałości. Na przestrzeni ostatnich lat sytuacja wyglądała następująco:

Jak widać, niektóre firmy mają poważne problemy, by utrzymać wysoki stopień dojrzałości swoich procesów, z drugiej jednak strony, brak stosowania się do regulacji stawia przedsiębiorstwo na z góry przegranej pozycji. Rosnące wymagania tłumaczą też utrzymywanie się w miarę stałych procentów na przestrzeni lat, na poszczególnych poziomach w przedstawionej tabeli. Fakt, że w 2020 roku aż 39% firm wskazuje, że ich poziom dojrzałości jest zdefiniowany lub początkowy, wskazuje, że nadal pozostaje tu szeroki zakres do wprowadzenia udoskonaleń By lepiej zrozumieć sposób oceniania poziomu dojrzałości procesów EERM, w poniższej tabeli zostały przedstawione standardy Deloitte wykorzystywane w ocenianiu dojrzałości firm w poszczególnych aspektach ich działalności.

Wyzwania w zarządzaniu stronami trzecimi

Główne obszary, które były wskazywane przez respondentów jako wymagające dodatkowej uwagi i usprawnień, to:

1. przeprowadzanie w czasie rzeczywistym (dla 68% respondentów):
   • procesowania informacji,
   • pomiarów ryzyka
   • raportowania ryzyka,
2. narzędzia i technologie wspierające zarządzanie stronami trzecimi (63%),
3. zarządzanie i prezentowanie kompleksowej perspektywy relacji ze stronami trzecimi dla kadry zarządzającej (61%).

Osiągnięcie dojrzałości w zarządzaniu stronami trzecimi również pozostaje zahamowane, gdyż wiele firm nie uwzględnia w swoich programach niektórych typów relacji ze stronami trzecimi – co czyni ich podejście fragmentarycznym. Dotyczy to zwłaszcza takich stron trzecich jak:

1. licencjobiorcy i partnerzy joint-venture (20% przypadków),
2. przedstawiciele handlowi, dystrybutorzy i franczyzobiorcy (19%),
3. spółki w grupie, spółki zależne i stowarzyszone (15%).

Wyzwania związane z podwykonawcami

Podwykonawcy, a więc tzw. strony czwarte i piąte stanowią poważne wyzwanie dla 80% ankietowanych firm – jedynie 20% może o sobie powiedzieć, że efektywnie monitoruje wszystkich lub też jedynie kluczowych podwykonawców. Jest to spowodowane przede wszystkim brakiem wiedzy o podwykonawcach i związanych z nimi ryzykach, braku zasobów (czasu, ludzi i budżetu do przeprowadzania takiego monitorowania), jak również przeświadczenie, że jest to w gestii stron trzecich, by monitorować swoich podwykonawców.

W przypadku podwykonawców:

• 8% firm identyfikuje i monitoruje wszystkich podwykonawców,
• 12% firm monitoruje podwykonawców jedynie dla kluczowych do działania firmy stron trzecich,
• 13% firm dokonuje przeglądu podwykonawców jedynie przy zawieraniu nowych kontraktów ze stronami trzecimi,
• 15% firm identyfikuje i dokonuje przeglądu podwykonawców w miarę potrzeb,
• 29% firm polega całkowicie na stronach trzecich w procesie zarządzania podwykonawcami,
• 23% firm nie monitoruje wcale podwykonawców, nawet poprzez strony trzecie.

Firmy przyznają, że brak spójności w podejściu do monitorowania stron trzecich i ich podwykonawców stanowi znaczące ryzyko – również poprzez poleganie na stronach, które nie są objęte bezpośrednim kontraktem.

Pandemia Covid-19 sprawiła, że organizacje muszą lepiej zrozumieć swoją zależność nie tylko od stron trzecich, ale też co najmniej od ich kluczowych podwykonawców. W tym celu firmy sprawdzały rodzaje zabezpieczeń stosowane przez strony trzecie, tworzyły wspólne zespoły mające na celu dokonanie oceny i monitorowania podwykonawców jak również wykorzystywały narzędzia wywiadowcze w celu zrozumienia środowiska i płynności finansowej podwykonawców.

Dodatkowo, nowe wytyczne i regulacje prawne (takie jak np. Modern Slavery Act w Wielkiej Brytanii), stawiają firmom wymagania monitorowania całego łańcucha dostaw – oprócz przywołanego aktu, również w celu sprawdzenia przestrzegania zasad ochrony informacji (RODO). Wynika to z faktu, że jeżeli nawet przekroczenie przepisów nastąpi u podwykonawcy – oddalonego o dwa lub trzy poziomy od firmy zlecającej działanie, firma ta jest nadal za to odpowiedzialna.

Brak kompleksowego podejścia do kwestii zarządzania podwykonawcami wpływa negatywnie na możliwość ich monitorowania, a w rezultacie przyczynia się do braku planów wyjścia, co w efekcie może zakłócić ciągłość działania przedsiębiorstwa.

Ciągłość działania w obliczu pandemii

W odpowiedzi na pandemię, wiele organizacji zainicjowało przygotowywanie ogólnych planów zapewnienia ciągłości działania ze swoimi stronami trzecimi, jednakże jedynie 47% przedsiębiorstw miało uprzednio wygospodarowany budżet na monitorowanie ciągłości działania i odporności operacyjnej stron trzecich. W wielu przypadkach pandemia obnażyła brak przygotowania firm na taką sytuację – co jednocześnie dało czytelny sygnał, że posiadanie planów zachowania ciągłości działania i planów wyjścia umożliwia bardziej elastyczne podejście i może być znaczącym wsparciem dla bieżącej działalności przedsiębiorstwa. Jak wykazały badania, 40 % przedsiębiorstw wierzy, że ma odpowiednie plany wyjścia wobec swoich krytycznych stron trzecich, 33 % nie ma takich planów, a aż 27% nie wie, czy takie plany istnieją w firmie. Zapewnienie odporności operacyjnej jest też coraz bardziej istotne dla regulatorów rynku.

Elastyczność podejścia

W swoich odpowiedziach 59 %respondentów wskazywało również na brak elastyczności procedur w zarządzaniu ryzykiem stron trzecich, co skutkuje np. brakiem możliwości właściwej oceny start-upów czy też pracowników tymczasowych. Negatywnym skutkiem może być też brak możliwości wykorzystania specjalistycznej wiedzy eksperckiej w celu zdobycia przewagi strategicznej. Może to również prowadzić do nadmiernej ekspozycji na ryzyko – poprzez zastosowanie błędnego, zunifikowanego podejścia do wszystkich stron trzecich – które może np. nie uwzględniać praw pracowniczych czy też implikacji podatkowych związanych ze szczególną formą działalności określonych stron trzecich.

Obszary wymagające poprawy

Zdaniem badanych, następujące obszary wymagają poprawy w zakresie zarządzania ryzykiem stron trzecich w przedsiębiorstwach rozszerzonych:

Z punktu widzenia Deloitte

Nasze dotychczasowe doświadczenie wskazuje, że wzrost działań regulacyjnych mobilizuje przedsiębiorstwa do podniesienia poziomu dojrzałości w zarządzaniu ryzykiem stron trzecich. Firmy, które nie są w stanie nadążyć za zachodzącymi zmianami pozostają w tyle i tracą przewagę konkurencyjną. Proaktywne działania regulatorów również przyczyniają się do wzrostu przestrzegania nowotworzonych wytycznych.

Przewidujemy, że nowo powstające regulację będą skupiać się w coraz większym stopniu na kwestii zarządzania ryzykiem stron trzecich, ze szczególnym uwzględnieniem zachowania ciągłości działania i odporności operacyjnej. Jednocześnie, optymalny stan dojrzałości zarządzania ryzykiem stron trzecich będzie celem dla wielu organizacji – pomimo coraz bardziej wyśrubowanych warunków jego osiągnięcia – co będzie skłaniało firmy do dokonywania cyklicznej oceny i ciągłego rozwijania przyjętych rozwiązań. Obecna pandemia przyczyni się również do lepszego zrozumienia wszystkich stron trzecich i dalszych podwykonawców – co pozwoli na lepsze zrozumienie, wykrywanie i zarządzanie krytycznym ryzykiem stron trzecich, które zwykle materializuje się wewnątrz istniejącego ekosystemu stron trzecich.