Zarządzanie ryzykiem stron trzecich

Third Party Risk Management (TPRM)

Zarządzanie ryzykiem stron trzecich

Wspieramy istniejące struktury TPRM (m.in. procesy, technologie czy procedury), dostarczamy także technologię oraz doświadczenie konsultantów do współpracy z kluczowymi interesariuszami w celu ustanowienia takich struktur.

Pandemia COVID-19 i inwazja na Ukrainę pokazały wpływ zarządzania ryzykiem stron trzecich (ang. Third Party Risk Management (TPRM)) i łańcuchem dostaw na firmy oraz udowodniły, jak szybko negatywne konsekwencje globalnych zmian mogą dotknąć nieodpowiednio przygotowane podmioty. Wiele firm musiało zmierzyć się z konsekwencjami w postaci znacznych strat finansowych lub załamania się łańcucha dostaw, co doprowadziło do utraty wydolności i ciągłości działania.

Obszary analizy ryzyka:

• Cyber-ryzyko - ryzyko utraty, uszkodzenia ważnych lub wrażliwych informacji poprzez niewystarczający system kontroli bezpieczeństwa informacji przez stronę trzecią.
• Bezpieczeństwo fizyczne – ryzyko, naruszenie danych zarówno przez kontrahentów zewnętrznych posiadających niewłaściwy dostęp lub nadużywających informacji poufnych uzyskanych z siedziby organizacji jak i stronę trzecią posiadające nieodpowiednie kontrole fizyczne nad własną infrastrukturą IT.
• Prywatność – ryzyko, że strona trzecia nie będzie przestrzegać standardów, norm prawnych dotyczących przetwarzania i ochrony danych osobowych.
• Przestępstwo finansowe – ryzyko, że poprzez działanie strony trzeciej, firma zostanie zaangażowana w działania korupcyjne poprzez obiecywanie niewłaściwej korzyści, bezpośrednio lub pośrednio, z zamiarem wpłynięcia lub nagrodzenia czyjegoś zachowania w celu uzyskania lub zachowania przewagi handlowej dla organizacji.
• Współczesne niewolnictwo – ryzyko, że strona trzecia, w celu dostarczenia towarów lub usług, stosuje nieetyczne lub nielegalne praktyki pracy (korzystanie z pracy dzieci, pracy przymusowej, dyskryminację, nieuczciwe wynagrodzenie lub niewłaściwe godziny pracy zakaz zrzeszania się), co w rezultacie powoduje ryzyko reputacyjne, regulacyjne, prawne i operacyjne.
• BHP – ryzyko, że strona trzecia nie spełni norm lub wymagań prawnych w zakresie zdrowia i bezpieczeństwa pracy oraz ochrony środowiska, w tym m.in. promocji i ochrony zdrowia, bezpieczeństwa biologicznego, bezpieczeństwa procesów, bezpieczeństwa chemicznego, bezpieczeństwa przeciwpożarowego i transportowego, redukcji emisji zanieczyszczeń do powietrza i wody, minimalizacji odpadów oraz ochrony zasobów naturalnych, wody i energii.
• Odporność operacyjna – ryzyko, że usługi świadczone przez strony trzecie nie będą mogły być świadczone z powodu problemów operacyjnych, powodując zakłócenia biznesowe i potencjalnie szkodząc marce.
• Bezpieczeństwo personelu — ryzyko, że pracownicy strony trzeciej, którzy dołączają do firmy, lub w inny sposób migrują w ramach organizacji, nie zostaną odpowiednio zweryfikowani przed zatrudnieniem oraz uzyskaniem dostępu do informacji i aktywów w imieniu przedsiębiorstwa; Ryzyko dotyczy zarówno wykonawców zewnętrznych jak i pracowników tymczasowych. Istotne jest, żeby każdy wykonawca lub przedstawiciel personelu tymczasowego, który dołącza do organizacji i uzyskuje dostęp do systemów lub danych (czyli poufnych informacji przedsiębiorstwa i klienta, ustnych, jak i pisemnych), został objęty wcześniejszą weryfikacją.

Możemy pomóc poprzez:

• Identyfikacje stron trzecich i sieci powiązań między nimi,
• Ocenę dojrzałości w zakresie TPRM wraz z propozycją usprawnień,
• Opracowanie dedykowanego programu TPRM,
• Wdrożenie narzędzia TPRM,
• Outsourcing funkcji TPRM.

Deloitte posiada sprawdzone narzędzia do tworzenia systemu zarządzania ryzykiem dostawców

Współpracując z klientami opracowujemy efektywne, odporne systemy zarządzania ryzykiem dostawców i pomagamy je sprawnie i szybko wdrożyć. Właściwe metodologie, narzędzia i uporządkowany proces wdrożenia, ułatwiają klientowi podejmowanie świadomych decyzji. Pomagamy klientom i wspieramy ich w procesie identyfikacji i eliminacji związanych z tym problemów:

• nieefektywnych procesów wykonywanych ręcznie,
• narzędzi opracowanych własnymi siłami,
• popularnego „silosowego” sposobu działania.

Nowy poziom zarządzania ryzykiem dostawców - ServiceNow (VRM) Vendor Risk Management

System ServiceNow oferuje scentralizowany proces zarzadzania portfelami dostawców, ocenę poziomu ryzyka oraz wspiera procedury zaradcze. Dzięki modułowi VRM, przedsiębiorstwo może zautomatyzować dotychczasowe manualne zadania związane z przetwarzaniem oceny ryzyka stron trzecich. Doświadczenie w dziedzinie zintegrowanego zarządzania ryzykiem połączone z możliwościami, jakie daje ServiceNow, pozwala przedsiebiorstwom na włączanie zarządzania ryzykiem i zapewnienia zgodności z przepisami w procesy wykorzystujące aplikacje zintegrowane na poziomie całego przedsiebiorstwa

Więcej na temat ServiceNow Vendor Risk Management tutaj.