Ryzyko strony trzeciej

Dariusz Rycek

19 czerwca, 2022
5:55 pm

Ryzyko strony trzeciej - TPRM

Na Linkedin’ie zrobiliśmy anons do niniejszego ujęcia lektury artykułu w FW (Financial Worldwide) pod tytułem „W świecie ryzyka: zarządzanie ryzykiem stron trzecich w 2022 roku”. Dlaczego postanowiliśmy go rozwinąć i odnieść się do niego? Bardzo pasuje nam dziewiąta, czyli ostatnia z zasad skutecznego programu TPRM (Thrird Party Risk Management). Wszystkie zasady przedstawimy w tłumaczeniu w całości w dalszej części wpisu. Sprowadza się ona do ciągłości działania jako jednego z kluczowych aspektów oceny strony trzeciej, która przeżywa swój renesans od czasów pandemii. Ciągłość działania rozumiana właściwie, do tej pory spotykana tak naprawdę w biznesach krytycznych oraz w usługach finansowych, dopiero przy KSC oraz wspomnianej pandemii stała się przedmiotem coraz częstszych oczekiwań interesariuszy, wdrożeń, a czasami nawet certyfikacji systemu zarządzania wg ISO 22301, znacznie częściej niż ISO 27001.

Dobrze wdrożony, dopasowany do specyfiki organizacji TPRM pomaga zapewnić, że strony trzecie:

przestrzegają przepisów (ISO 37301);
unikają nieetycznych praktyk (ISO 37001);
chronią poufne informacje (ISO 27001);
wzmacniają bezpieczeństwo łańcucha dostaw (ISO 28000, ISO 27036, ISO 22318);
utrzymują zdrowe i bezpieczne środowisko pracy (ISO 45001);
skutecznie radzą sobie z zakłóceniami (ISO 22301);
oraz osiągają wysoki poziom wydajności i jakości (ISO 9001).

Jak napisano w artykule, temat ważności TPRM, podnoszą także nowe badania KPMG International – w ramach których przebadano 1263 starszych specjalistów ds. TPRM w sześciu sektorach i 16 krajach świata – z których wynika, że TPRM jest strategicznym priorytetem dla 85% firm, w porównaniu z 77% przed wybuchem pandemii. Oprócz ryzyka związanego z istotnymi wydarzeniami, takimi jak pandemia COVID-19 i konflikt na Ukrainie, firmy muszą zmagać się z wieloma typowymi rodzajami ryzyka, w tym:

ryzyko cybernetyczne,
ryzyko operacyjne,
ryzyko braku zgodności,
ryzyko utraty reputacji,
ryzyko finansowe,
ryzyko strategiczne.

Podstawowe ryzyka strony trzeciej

Po krótce o nich w materiale opracowanym przez BlueVoyant:

Po pierwsze, ryzyko związane z bezpieczeństwem cybernetycznym. Strona trzecia może doprowadzić do cyberataku, który może spowodować narażenie lub utratę danych. Firmy mogą ograniczyć to ryzyko, przeprowadzając badania due diligence przed przyjęciem nowych dostawców oraz stale monitorując ich cykl życia.
Po drugie, ryzyko operacyjne. Strona trzecia może zakłócić działalność biznesową. Firmy mogą zarządzać tym ryzykiem poprzez zawieranie umów o poziomie świadczonych usług (SLA) oraz tworzenie kopii zapasowych w celu zapewnienia ciągłości działalności.
Po trzecie, ryzyko braku zgodności. Podmiot zewnętrzny może mieć wpływ na przestrzeganie przez firmę przepisów, umów lub regulacji prawnych, takich jak ogólne rozporządzenie Unii Europejskiej (UE) o ochronie danych (GDPR). Zarządzanie ryzykiem braku zgodności ma kluczowe znaczenie dla usług finansowych, organizacji rządowych i placówek opieki zdrowotnej.
Po czwarte, ryzyko utraty reputacji. Strona trzecia może wprowadzić ryzyko, które negatywnie wpłynie na opinię publiczną. Naruszenia danych osób trzecich mogą wynikać ze słabych kontroli bezpieczeństwa. Może to prowadzić do nieodpowiednich interakcji, złych rekomendacji i niezadowolonych klientów.
Po piąte, ryzyko finansowe. Osoba trzecia może mieć negatywny wpływ na sukces finansowy firmy. Na przykład złe zarządzanie łańcuchem dostaw może spowodować spadek sprzedaży lub jej całkowity brak.
Po szóste, ryzyko strategiczne. Ryzyko związane ze stroną trzecią może spowodować, że firma nie osiągnie celów biznesowych, czy też nie spełni oczekiwań interesariuszy.

Wśród nich szczególnie częstym źródłem ryzyka dla stron trzecich są naruszenia danych i incydenty związane z bezpieczeństwem cybernetycznym, co pokazują różne badania. I tak np. wg OneTrust, ponad połowa naruszeń, które miały miejsce w ciągu ostatnich dwóch lat, została spowodowana przez stronę trzecią. Należy również zauważyć, że ryzyka te często nakładają się na siebie. Na przykład firma, która doświadcza naruszenia, w wyniku którego dane klientów są zagrożone, staje w obliczu ryzyka operacyjnego, utraty reputacji, finansowego i związanego z zachowaniem zgodności z przepisami. W ramach najlepszej praktyki w celu zidentyfikowania ryzyka stwarzanego przez strony trzecie i zareagowania na nie, firmy powinny wdrożyć program oceny stron trzecich – plan TPRM, który pozwoli skutecznie poruszać się w złożonym środowisku biznesowym, charakteryzującym się coraz większą globalizacją. „TPRM ma na celu zapewnienie firmom zrozumienia, z jakich usług stron trzecich korzystają, w jaki sposób z nich korzystają i jakie zabezpieczenia stosują” – potwierdza OneTrust.

Skuteczny TPRM

Zakres i wymagania programu zarządzania ryzykiem strony trzeciej są zależne od firmy i mogą się znacznie różnić w zależności od branży, wytycznych regulacyjnych i innych czynników. Wiele najlepszych praktyk TPRM jest uniwersalnych i ma zastosowanie w każdej firmie lub organizacji – Według raportu Navex Global „9 Tips Best Practices for Third-Party Risk Assessments”, praktyki wymienione poniżej mogą pomóc firmom w stworzeniu sprawnego programu oceny stron trzecich.

Po pierwsze, zrozum apetyt na ryzyko. Organy regulacyjne zazwyczaj sugerują, kogo i jak często należy oceniać. Jednak określenie pytań, które należy zadać w trakcie oceny, często pozostawia się firmom. Aby określić, w jaki sposób ocena może wpłynąć na zasady i procedury, firmy powinny opracować i przetestować program oceny podmiotów zewnętrznych we własnym zakresie, korzystając z kwestionariuszy, które odzwierciedlają ich gotowość do podejmowania ryzyka.

Po drugie, sklasyfikuj sprzedawców. Firmy powinny opracować metodę klasyfikacji dostawców w celu zidentyfikowania stron trzecich, które są objęte zakresem i wymagają oceny. Pomoże im to uniknąć niepotrzebnego oceniania stron trzecich lub pominięcia oceny stron trzecich, które stanowią ryzyko dla ich organizacji.

Po trzecie, poprawa jakości gromadzonych danych. Uzyskanie danych jest jednym z największych wyzwań w zarządzaniu ryzykiem strony trzeciej, a kluczem do tego jest wysoka jakość oceny. Aby poprawić jakość kwestionariuszy, firmy powinny zacząć od powszechnie akceptowanej oceny i dostosować ją do swoich specyficznych potrzeb biznesowych i procesów.

Po czwarte, ułatwienie zarządzania ocenami. Jeśli firma współpracuje z wieloma stronami trzecimi, musi znaleźć sposób na ułatwienie zarządzania ocenami. Może ona przyspieszyć proces oceny, przesyłając wszystkim stronom trzecim ocenę niskoprogową z kilkoma pytaniami flagującymi. W przypadku wszystkich oznaczonych stron trzecich firma powinna wysłać ocenę wyższego poziomu, dogłębną, w celu zachowania należytej staranności w zakresie ryzyka.

Po piąte, wstępnie wypełnij dane do oceny. Oceny są przeprowadzane w sposób ciągły i często z tymi samymi dostawcami. Jeśli mechanizm oceny firmy wstępnie wypełnia dane, jednostka oceniana musi jedynie zająć się zmianami. Jest to mniej pracy dla nich i dla firmy, a nawet może poprawić wskaźniki odpowiedzi.

Po szóste, oceniaj wydajność, a nie tylko ryzyko. Dzięki odpowiedniej platformie firmy mogą przesyłać umowy o poziomie świadczonych usług (SLA) i uczynić je częścią procesu oceny. Powinny porównywać dane z oceny z umowami SLA, a następnie wykorzystywać analizę do przekazania informacji zwrotnej stronie trzeciej, wykorzystać ją w procesie odnawiania umowy lub w celu wsparcia zmiany dostawcy usług.

Po siódme, ponowna ocena na podstawie rozszerzenia oferty przez stronę trzecią. Gdy osoby trzecie rozszerzają zakres usług świadczonych na rzecz firmy, zmienia się ich profil ryzyka. Jednym z najlepszych sposobów rozwiązania tego problemu jest okresowe ocenianie stron trzecich pod kątem zmian i odpowiednie aktualizowanie profili ryzyka. W ten sposób profil ryzyka strony trzeciej jest zawsze aktualny.

Po ósme, zwróć uwagę nie tylko na ryzyko finansowe związane z osobami trzecimi. Większość firm ocenia strony trzecie w celu zarządzania ryzykiem finansowym. Czasami niewielkie ryzyko otwiera drzwi do poważniejszych konsekwencji. Utrata przychodów może powodować problemy, ale jest możliwa do odzyskania. Utrata reputacji może nie być możliwa.

Po dziewiąte, zależność stwarza ryzyko związane z ciągłością działania. Każda osoba trzecia może być zagrożeniem dla ciągłości działania. Papierkiem lakmusowym jest pytanie: czy gdyby usługi świadczone przez stronę trzecią przestały działać, spowodowałoby to zakłócenia w działalności firmy? Może to być dostawca usług informatycznych lub dostawca odgrywający kluczową rolę w łańcuchu dostaw.

Zagrożenia ciągłości działania

Strony trzecie, od których firma jest w dużym stopniu zależna, mogą stwarzać zagrożenia dla ciągłości działania, które można zidentyfikować poprzez ocenę ryzyka. Jak sugeruje Navex Global – „…W procesie doskonalenia programów TPRM kluczowe jest informowanie o wartości, jaką dany program zarządzania ryzykiem zapewnia firmie, poprzez regularne raportowanie do kierownictwa. Posiadanie metryk i zdefiniowanych wartości ustalonych dla danych dostępnych dla programu ryzyka ułatwi podejmowanie decyzji lub reagowanie na problemy i zdarzenia. Należy zauważyć, że chociaż szablon oceny ryzyka może być pomocny w kierowaniu procesem audytu przeprowadzanego przez stronę trzecią, zrozumienie, co, kiedy i komu należy raportować, może stanowić wyzwanie przy tak wielu dostawcach, interesariuszach i punktach danych. W wielu branżach raportowanie wynika z przepisów, które ostatecznie nakładają na kierownictwo i zarząd odpowiedzialność za zgodność. Jednak nawet w mniej uregulowanej firmie, kierownictwo wyższego szczebla będzie wymagało danych i analiz w celu określenia stopnia zgodności, zdrowia i stabilności programu…”

Warto przyjąć do wiadomości fakt, że strony trzecie stały się integralną częścią nowoczesnego modelu biznesowego i są oni postrzegani przez klientów jako przedłużenie własnej działalności firmy. Stąd też wszelkie zagrożenia ze strony osób trzecich są domyślnie również zagrożeniami dla firmy, która je wynajmuje, od nich kupuje. Można też powiedzieć, że poleganie na osobach trzecich może być niebezpieczne. Dlatego tak ważny jest skuteczny program TPRM w celu zapewnienia sobie ciągłego bezpieczeństwa i sukcesu. Dlatego warto też sięgnąć po standardy, jak np. wspomniane ISO 22301, ISO 27001, czy ISO 37301 i inne wspominane wcześniej aby wprowadzić mechanizm działań w zakresie TPRM do kultury systemowej.

Niniejszy tekst opiera się głównie na tłumaczeniu własnym artykułu, po to aby nie utracić jego sensu, który chciał w nim przekazać autor.

Zapraszamy do współpracy
Zespół Centre of Excellence

Źródlo:

Finnacier Worldwide – 07-2022, str. 21-23 (https://www.financierworldwide.com/july-2022-issue);
9 Tips Best Practices for Third-Party Risk Assessments – 29.04.2020 – https://www.navexglobal.com/blog/article/third-party-risk-assessment-nine-tips/
https://www.bluevoyant.com).