Ryzyko stron trzecich: jak zintegrować compliance, audyt i ERM

Rosnąca złożoność ryzyka compliance — zwłaszcza tego płynącego z relacji z podmiotami trzecimi — obnaża słabość modelu silosowego. Co łączy skazanie w sprawie węglowej z lutego 2026 roku ze statystyką mówiącą, że 90% spraw FCPA dotyczy pośredników? Odpowiedzią jest współpraca, nie separacja funkcji.

Zastanawiasz się, jak przełożyć zintegrowane zarządzanie ryzykiem stron trzecich na certyfikowalny, obronialny wobec regulatorów system?

Centre of Excellence — poprzez Centrum Certyfikacji QSCert — wspiera organizacje certyfikacji ISO 37001 oraz ISO 37301

Wstęp

W najnowszym numerze Risk & Compliance Magazine (Financier Worldwide) Amy Kovalan — Corporate Vice President i Chief Compliance Officer w McDonald’s Corporation — stawia diagnozę, która powinna zainteresować każdego audytora i menedżera systemów zarządzania. Publikacja wskazuje, że organizacje działają dziś w coraz bardziej złożonym otoczeniu regulacyjnym, w którym identyfikacja, ocena i zarządzanie ryzykiem zgodności wykracza poza kompetencje pojedynczej funkcji. Autorka argumentuje, że tradycyjny podział na oddzielnie działające zespoły — compliance, audyt wewnętrzny oraz zarządzanie ryzykiem korporacyjnym (ERM, enterprise risk management) — przestał odpowiadać realiom współczesnej ekspozycji. Szczególnie wyraźnie widać to w obszarze ryzyka stron trzecich, konsekwentnie plasującym się w centrum najpoważniejszych działań egzekucyjnych. Dla praktyków systemów zarządzania to sygnał, że nadzór nad pośrednikami, dostawcami i partnerami handlowymi nie jest już domeną jednego działu, lecz wymaga zintegrowanego, wielofunkcyjnego podejścia.

Cztery ryzyka

Od silosów do powiązanego ryzyka

Silosy kontra connected risk

Publikacja podkreśla, że historycznie compliance, audyt wewnętrzny i ERM funkcjonowały jako odrębne struktury — każda z własnym językiem ryzyka, metodyką i systemem raportowania. Compliance koncentruje się na zgodności z przepisami, audyt wewnętrzny dostarcza niezależnego zapewnienia (independent assurance), a ERM patrzy na ryzyko w skali całego przedsiębiorstwa. Choć każda z tych funkcji jest krytyczna, brak ustrukturyzowanej współpracy prowadzi — jak wskazuje autorka — do dublowania ocen ryzyka, niespójnych ratingów i rozbieżnych taksonomii. Kovalan przywołuje badania nad koncepcją powiązanego ryzyka (connected risk), z których wynika, że organizacje mają trudność z rozpoznaniem współzależności między ryzykami właśnie z powodu odseparowanych systemów i niejednolitych ram. W zarządzaniu ryzykiem stron trzecich (TPRM, third-party risk management) problem jest szczególnie dotkliwy: dane o ryzyku bywają rozproszone między zakupami, działem prawnym, compliance, cyberbezpieczeństwem i finansami.

FCPA i anatomia nadużycia pośrednika

Artykuł wskazuje, że trendy egzekucyjne wokół amerykańskiej ustawy FCPA (Foreign Corrupt Practices Act) stanowią przekonujący dowód na to, dlaczego zintegrowane zarządzanie ryzykiem jest niezbędne. Uderzająca statystyka: około 90% działań egzekucyjnych FCPA dotyczy pośredników — agentów, konsultantów, dystrybutorów. Publikacja tłumaczy to prostym mechanizmem: firmy polegają na lokalnych partnerach, którzy często działają w jurysdykcjach wysokiego ryzyka, a nadzór nad ich działaniami bywa ograniczony. Autorka ilustruje to sprawą z lutego 2026 roku — skazaniem byłego dyrektora spółki węglowej, który za pośrednictwem osoby trzeciej skierował około 4,8 mln USD „prowizji”, z których część trafiła jako łapówki do egipskich urzędników w zamian za kontrakty o wartości przekraczającej 140 mln USD. Wzorzec jest powtarzalny: (i) zawyżone prowizje, (ii) pośrednik dystansujący spółkę od nadużycia, (iii) słaby nadzór właścicielski nad relacją.

Cztery wymiary jednego ryzyka

Kluczowa teza źródła brzmi: „Third-party risk cannot be effectively managed by compliance alone.” Publikacja rozkłada pojedynczą relację z pośrednikiem na cztery współzależne wymiary ryzyka: compliance (naruszenie przepisów antykorupcyjnych), operacyjne (zależność od partnera zewnętrznego), strategiczne (utrata dostępu do rynku lub kontraktów) oraz reputacyjne (erozja zaufania do marki). Autorka podkreśla, że ramy ERM traktują ryzyka jako wzajemnie powiązane — dlatego skuteczne zarządzanie wymaga współpracy pozwalającej dostrzec sygnały widoczne dopiero na styku funkcji. Compliance może zidentyfikować pośrednika wysokiego ryzyka w toku due diligence, audyt wewnętrzny — wykryć słabości kontroli w procesach płatniczych, a ERM — wskazać ryzyko geopolityczne. Dopiero połączenie tych perspektyw daje dokładny, spriorytetyzowany obraz ryzyka.

Pięć dźwigni współpracy

Autorka proponuje konkretne mechanizmy operacjonalizacji współpracy. Po pierwsze — wspólne oceny ryzyka oparte na jednej metodyce i wspólnych warsztatach. Po drugie — współdzielone platformy danych i technologii, integrujące narzędzia due diligence z systemami ryzyka i audytu. Po trzecie — skoordynowane testowanie i monitorowanie, w którym compliance prowadzi monitoring ciągły, audyt okresowe przeglądy pogłębione, a ERM śledzi trendy ryzyka. Po czwarte — zintegrowane struktury ładu: wspólne komitety ryzyka i skoordynowane raportowanie do zarządu. Po piąte — ujednolicone taksonomie i metryki, dzięki którym informacja o ryzyku daje się agregować i porównywać w skali całej organizacji. Efektem ma być jedna, wspólna wersja prawdy o ryzyku.

Silosy kontra powiązane ryzyko

Perspektywa norm ISO

Trzy wybrane normy, które ujmują te zaadnienie ze swojej perspektywy.

ISO 31000:2018 — connected risk jako framework

Artykuł opisuje powiązane ryzyko jako intuicję praktyka; norma ISO 31000:2018 nadaje jej strukturę. Publikacja postuluje jedną, spójną wersję prawdy o ryzyku — a to właśnie cel klauzuli 5 normy (ramy zarządzania ryzykiem: integracja, przywództwo, zaangażowanie kierownictwa) oraz klauzuli 6 (proces jako powtarzalny cykl oceny i postępowania z ryzykiem). Tam, gdzie Kovalan mówi o współzależnościach między ryzykami, ISO 31000 wskazuje na integrację zarządzania ryzykiem we wszystkich funkcjach i na wszystkich szczeblach organizacji, zamiast utrzymywania go w odrębnych silosach.

ISO 37001:2025 — nadzór nad pośrednikiem

Sprawa węglowa to niemal podręcznikowa ilustracja tego, czemu zapobiega ISO 37001:2025. Tam, gdzie artykuł opisuje zawyżone prowizje i pośrednika dystansującego spółkę, norma operacjonalizuje kontrolę przez klauzulę 8.2 (due diligence wobec partnerów o podwyższonym ryzyku korupcyjnym), klauzulę 8.5 (wymóg wdrożenia kontroli antykorupcyjnych przez partnerów biznesowych, także niekontrolowanych) oraz klauzulę 8.6 (zobowiązania antykorupcyjne kontrahenta wraz z prawem do rozwiązania umowy w razie korupcji). To bezpośrednia odpowiedź na wszystkie trzy elementy wzorca nadużycia opisanego w publikacji.

ISO 37301:2021 — integracja funkcji i pętla nadzoru

Postulat przełamania silosów najpełniej adresuje ISO 37301:2021. Publikacja mówi o wspólnym ładzie, nadzorze zarządu i sprzężeniu zwrotnym między funkcjami; norma odwzorowuje to w klauzuli 5 (przywództwo, role i odpowiedzialności, kultura zgodności) oraz klauzuli 9 (ocena skuteczności — audyt wewnętrzny i przegląd zarządzania). To właśnie owa ciągła pętla sprzężenia zwrotnego, o której pisze autorka: ustalenia audytu wracają do ocen ryzyka i planów naprawczych, domykając cykl doskonalenia.

Tło regulacyjne UE — wykrywanie przez sygnalistów

Autorka akcentuje wagę wczesnego wykrywania — nietypowych wzorców płatności i sygnałów ostrzegawczych, zanim nadużycie eskaluje. W realiach polskich i unijnych obserwację tę wzmacnia Dyrektywa (UE) 2019/1937 o ochronie sygnalistów, w Polsce wdrożona ustawą z 2024 roku, tworząca formalny kanał zgłaszania nieprawidłowości — naturalnie korespondujący z klauzulą 8.9 ISO 37001 (zgłaszanie zastrzeżeń). Choć case źródłowy jest amerykański, mechanizm powiązanego ryzyka i TPRM pozostaje uniwersalny i osadzony w europejskich oczekiwaniach compliance.

ISO 37301 ISO 37001 ISO 31000

Praktyczne implikacje

Z syntezy tez źródła i perspektywy normatywnej wyłania się praktyczna mapa działań dla organizacji zarządzającej ryzykiem pośredników:

  • Zbuduj jedną taksonomię ryzyka i wspólną metodykę scoringu (ISO 31000, klauzula 6) — zamiast trzech równoległych ocen.
  • Powiąż due diligence pośredników z rejestrem ryzyka i planem audytu (ISO 37001, klauzula 8.2 + ISO 37301, klauzula 9).
  • Wprowadź w umowach z partnerami zobowiązania antykorupcyjne i prawo do rozwiązania umowy (ISO 37001, klauzula 8.6).
  • Ustanów wspólny komitet ryzyka z udziałem compliance, audytu i ERM oraz skoordynowane raportowanie do zarządu (ISO 37301, klauzula 5).
  • Zapewnij kanał sygnalizowania nieprawidłowości i monitoring nietypowych płatności (ISO 37001, klauzula 8.9; Dyrektywa 2019/1937).

Dla audytora oznacza to jedno: plan audytu przestaje być listą oderwanych kontroli, a staje się elementem zintegrowanego systemu, w którym ustalenia z jednej funkcji zasilają decyzje w pozostałych.

Ryzyko stron trzecich ISO 37301 ISO 37001

Podsumowanie

Publikacja Amy Kovalan formułuje wniosek trudny do podważenia: rosnąca złożoność ryzyka compliance, zwłaszcza wynikającego z relacji z podmiotami trzecimi, wymaga fundamentalnego przejścia od silosów do współpracy. Skoro pośrednicy są zamieszani w większość spraw FCPA, a nadużycia wynikają zwykle z systemowych słabości zarządzania ryzykiem, regulatorzy oczekują holistycznego obrazu ryzyka. Przełamanie silosów pozwala skuteczniej identyfikować zagrożenia, eliminować nieefektywności i reagować proaktywnie — a przy okazji zmniejsza prawdopodobieństwo działań egzekucyjnych i buduje odporność organizacji. Normy ISO 31000, 37001 i 37301 dostarczają sprawdzonego szkieletu, który tę współpracę czyni mierzalną i obronialną.

Bbliografia:

  1. Kovalan, A. „Breaking down silos: collaboration is key to managing compliance risk". Risk & Compliance Magazine (Financier Worldwide), nr 55, Jul–Sep 2026, PERSPECTIVES, s. 33–39. riskandcompliancemagazine.com
  2. ISO 31000:2018. Zarządzanie ryzykiem — Wytyczne.
  3. ISO 37001:2025. Systemy zarządzania działaniami antykorupcyjnymi — Wymagania i wytyczne stosowania.
  4. ISO 37301:2021. Systemy zarządzania zgodnością — Wymagania z wytycznymi stosowania.
  5. Dyrektywa Parlamentu Europejskiego i Rady (UE) 2019/1937 z dnia 23 października 2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Unii. EUR-Lex

FAQ: Ryzyko stron trzecich

TPRM (third-party risk management) to systematyczne identyfikowanie, ocena i nadzorowanie ryzyk wynikających z relacji z podmiotami zewnętrznymi — pośrednikami, agentami, dostawcami i dystrybutorami. Publikacja Amy Kovalan wskazuje, że to obszar szczególnie narażony na nadużycia, ponieważ dane o ryzyku bywają rozproszone między zakupami, działem prawnym, compliance, cyberbezpieczeństwem i finansami.

Gdy każda funkcja działa osobno, pojawiają się zdublowane oceny ryzyka, niespójne ratingi i rozbieżne taksonomie. Sygnały widoczne dopiero na styku funkcji — np. nietypowe płatności do pośrednika — pozostają niezauważone. Zintegrowany model daje „jedną wersję prawdy" o ryzyku i umożliwia wczesne wykrycie zagrożeń.

ISO 37001:2025 adresuje third-party bribery przez trzy kluczowe klauzule: 8.2 (due diligence wobec partnerów o podwyższonym ryzyku), 8.5 (wymóg wdrożenia kontroli antykorupcyjnych przez partnerów biznesowych) oraz 8.6 (zobowiązania antykorupcyjne kontrahenta wraz z prawem do rozwiązania umowy). To bezpośrednia odpowiedź na wzorzec: zawyżone prowizje → pośrednik dystansujący spółkę → słaby nadzór.

To podejście, w którym ryzyka traktuje się jako wzajemnie powiązane, a nie odseparowane. Jedna relacja z pośrednikiem generuje jednocześnie ryzyko compliance, operacyjne, strategiczne i reputacyjne. Norma ISO 31000:2018 nadaje tej intuicji strukturę poprzez integrację zarządzania ryzykiem we wszystkich funkcjach i na wszystkich szczeblach organizacji.

Triada: ISO 31000:2018 (rama pojęciowa powiązanego ryzyka), ISO 37001:2025 (nadzór nad pośrednikami i kontrole antykorupcyjne) oraz ISO 37301:2021 (integracja funkcji compliance, audytu i ERM oraz ład i nadzór zarządu). Razem tworzą obronialny wobec regulatorów system nadzoru nad stronami trzecimi.

Ałła Rycek
Ałła Rycek
CCO & Lead Auditor — Centre of Excellence & QSCert
Ekspert w zakresie systemów zarządzania ISO, MSUES, RODO, Compliance. Audytor, konsultant, trener.
Profil LinkedIn
Przewijanie do góry