Skip to content 
Wprowadzenie do artykułu o TPRM
W lipcu 2022 roku na naszym blogu podjęliśmy po raz pierwszy temat TPRM – Third Party Risk Management, czyli Zarządzanie ryzykiem strony trzeciej. W standardach systemów zarządzania ISMS (ISO 27001), czy też BCMS (ISO 22301) tematy współpracy z dostawcami doczekały się nawet oddzielnych norm, odpowiednio ISMS – ISO 27036 (seria 1-4 obecnie aktualizowana) oraz BCMS – ISO 22318. Przy zintegrowanych usługach, gdzie strona trzecia dostarcza komponenty stające się częścią produktową, czy usługową ich wpływ na wynik końcowy, czy też na proces ciągły świadczenia usługi może być kluczowy – Data Center, SOC, Software development, IT Personel Leasing, etc. Ale tak naprawdę każdy standard zarządzania odwołuje się do dostawców i ich roli w łańcuchu dostaw – np. w odniesieniu do due diligence w ISO 37001.
Poniższy tekst oparty jest o artykuł opublikowany w magazynie 4/2023 Financial Worldwide pod tytułem „TalkingPoint: Fresh linking: TPRM across the supply chain” (Sedno rozmowy. Świeże łączenie: TPRM w całym łańcuchu dostaw). A w podtytule – Bez odpowiedniego programu TPRM poleganie na osobach trzecich sprawia, że organizacja jest bardziej podatna na zagrożenia.
TPRM - co to jest i jakie ma znaczenie?
TPRM, czyli zarządzanie ryzykiem związanym z podmiotami trzecimi, to proces identyfikacji, oceny i minimalizacji ryzyka, które może wpłynąć na przepływ towarów, usług i informacji wzdłuż łańcucha dostaw. W dzisiejszych czasach firmy coraz częściej korzystają z zewnętrznych dostawców, co zwiększa ryzyko zakłóceń w łańcuchu dostaw. Dlatego skuteczne zarządzanie ryzykiem staje się coraz bardziej wymagającym zadaniem.
Outsourcing usług przez organizacje staje się powszechną praktyką w celu zaoszczędzenia pieniędzy i wykorzystania specjalistycznej wiedzy, jednak ważne jest uwzględnienie różnorodnych scenariuszy ryzyka, w tym ryzyka reputacji, geograficznego, geopolitycznego, finansowego, operacyjnego, prywatności, zgodności, etycznego, ciągłości działania, wydajności, kredytowego i środowiskowego. Globalne makroekonomiczne środowisko może wpłynąć na scenariusze ryzyka w 2023 roku, co wymusi ewolucję sposobu, w jaki liderzy i ich zespoły podejdą do ryzyka w łańcuchu dostaw.
Nawet niewielkie naruszenie w łańcuchu dostaw może przynieść poważne szkody, zwłaszcza jeśli organizacja nie ma satysfakcjonującej odpowiedzi. Raport „Third-Party Risk Management Governance and Technology Investments” firmy Gartner z 2022 roku pokazuje, jakie koszty i konsekwencje mogą ponieść przedsiębiorstwa związane z ryzykiem związanym z podmiotami zewnętrznymi, takie jak zakłócenia w łańcuchu dostaw, oszustwa ze strony dostawców, incydenty cybernetyczne, utratę danych oraz kary regulacyjne, które mogą przekraczać 500 milionów dolarów zgodnie z amerykańskim Aktem o Praktykach Spraw Korupcyjnych.
Dlatego organizacje powinny inwestować w skuteczne strategie zarządzania ryzykiem w łańcuchu dostaw, aby chronić swoją działalność i reputację. Kluczowe dla skutecznego zarządzania ryzykiem w łańcuchu dostaw jest również regularna weryfikacja dostawców pod kątem zgodności z wymaganiami i standardami organizacji.
W obliczu złożonego środowiska biznesowego skuteczne zarządzanie ryzykiem związanym z podmiotami trzecimi stanowi wyzwanie dla organizacji. Jednak brak skutecznych działań może prowadzić do poważnych problemów.
Wraz z rozwojem technologii, coraz więcej organizacji korzysta z zaawansowanych narzędzi informatycznych, takich jak automatyzacja procesów biznesowych i sztuczna inteligencja, aby usprawnić zarządzanie ryzykiem w łańcuchu dostaw. Jednym z takich narzędzi jest platforma TPRM (Third-Party Risk Management), która umożliwia skuteczne zarządzanie ryzykiem związanym z podmiotami trzecimi w całym łańcuchu dostaw.
TPRM umożliwia organizacjom identyfikację i ocenę ryzyka, monitorowanie zgodności z wymaganiami i standardami, a także wprowadzanie działań zapobiegawczych i korygujących w celu minimalizowania ryzyka związanego z podmiotami trzecimi. Platforma ta pozwala również na skuteczną komunikację i wymianę informacji między różnymi podmiotami w łańcuchu dostaw, co przyczynia się do poprawy efektywności procesów biznesowych.
Jednakże, aby program TPRM był skuteczny, wymaga on zaangażowania zarówno wewnętrznych, jak i zewnętrznych interesariuszy. Wewnętrzne zespoły powinny być odpowiedzialne za zarządzanie ryzykiem i zapewnienie zgodności z wymaganiami organizacji, podczas gdy zewnętrzni dostawcy powinni udostępniać swoje informacje i współpracować w celu minimalizacji ryzyka.
Podsumowując, zarządzanie ryzykiem w łańcuchu dostaw jest kluczowe dla zapewnienia efektywności i zabezpieczenia działalności organizacji. W dzisiejszych czasach, kiedy coraz więcej firm polega na zewnętrznych dostawcach, program TPRM stanowi niezbędne narzędzie dla skutecznego zarządzania ryzykiem związanym z podmiotami trzecimi. W zakresie etycznym TPRM w odniesieniu do ISO 37001 realizowany jest poprzez due diligence. W ramach ISO 27001 – ten temat należy odnieść do Aneksu A1, w BCMS wg ISO 22301 to art. 8.2.
Cykl funkcjonowania programu zarządzania ryzykiem związanym z dostawcami - TPRM
Aby stworzyć skuteczny program zarządzania ryzykiem związanym z dostawcami, należy zrozumieć wszystkie istotne typy ryzyka. Bez właściwego programu, poleganie na podmiotach trzecich czyni organizację bardziej narażoną na zagrożenia.
Cykl życia programu zarządzania ryzykiem związanym z dostawcami składa się z kilku etapów. Pierwszym etapem jest identyfikacja podmiotów trzecich, z którymi organizacja obecnie współpracuje oraz sposobów na identyfikowanie nowych podmiotów trzecich, z którymi organizacja chce współpracować. Można to zrobić poprzez integrację z istniejącymi technologiami, przeprowadzenie ocen lub wywiadów.
Kolejnym etapem jest ocena i wybór. Organizacje wchodzą na rynek, wydając zaproszenia do składania ofert i wybierając dostawców na podstawie wielu czynników, które są unikalne dla firmy i jej potrzeb.
Trzeci etap to identyfikacja i ocena ryzyka. Ocena ryzyka dostawcy powinna skupiać się na ryzyku, któremu organizacja jest narażona w wyniku współpracy z dostawcą i wymaga czasu i zasobów. W tym celu organizacje mogą korzystać z zewnętrznych giełd ryzyka lub oprogramowania TPRM, które automatyzuje przepływ pracy i zbieranie informacji.
Czwarty etap to łagodzenie ryzyka. Po przeprowadzeniu oceny identyfikuje się niezałagodzone ryzyko, a łagodzenie ryzyka może się rozpocząć. Techniki oceny ryzyka obejmują ocenę kontroli, przypisanie zaangażowania podmiotu trzeciego do oceny ryzyka oraz ustalenie, czy ryzyko jest akceptowalne w ramach określonego apetytu na ryzyko.
Piąty etap to raportowanie i prowadzenie dokumentacji. Zachowanie szczegółowych rejestrów i wyników jest kluczowe, dlatego wiele organizacji wdraża oprogramowanie do zarządzania ryzykiem związanym z dostawcami.
Szósty etap to nadzór nad ryzykiem i monitorowanie na bieżąco. Monitorowanie dostawcy i nadzór nad ryzykiem w trakcie trwania relacji z dostawcą są kluczowe, podobnie jak dostosowywanie się do nowych problemów, gdy się pojawiają.
Ostatnim etapem jest zakończenie współpracy z dostawcą. Po zakończeniu współpracy z dostawcą, organizacje muszą wykonać wiele zadań, aby zapewnić, że wszystkie poufne informacje są zwracane, a systemy informatyczne i infrastruktura są usuwane. Wiele organizacji ma szczegółową procedurę zakończenia współpracy z dostawcami, która zapewnia, że proces ten przebiega sprawnie i skutecznie.
W każdej ze wspomnianych norm ISO 22301, ISO 37001, ISO 27001 plan postępowania z ryzykiem a w tym przypadku poprzez zalecany program TPRM wpisuje się zapewnienie właściwego nadzoru nad stroną trzecią i zarządzania ryzykiem z tym związanym.
TPRM - Podsumowanie
Podsumowując, cykl życia TPRM składa się z kilku kluczowych etapów, które są niezbędne do skutecznego zarządzania ryzykiem związanym z dostawcami. Od identyfikacji podmiotów trzecich, przez ocenę ryzyka i łagodzenie, po nadzór i monitorowanie, aż po zakończenie współpracy – każdy etap ma swoje własne wyzwania i wymaga odpowiedniej uwagi. Wdrożenie skutecznego programu TPRM jest kluczowe dla organizacji, które chcą zminimalizować ryzyko związanego z podmiotami trzecimi i osiągnąć sukces w dzisiejszym zglobalizowanym środowisku biznesowym.
Nawet jeżeli zdefiniujemy względem kluczowych dostawców wymaganie posiadania tak jak my certyfikowanego systemu zarządzania ISO 37001, ISO 27001, ISO 22301, czy też innego, to powinno być ono tylko warunkiem koniecznym. Nie zwalnia nas to od sprawdzenia jego zabezpieczeń, podejścia, praktyk, itd. np. poprzez audyt 2-giej strony, klientowski.
Zachęcamy nie tylko do lektury artykułu, który stał się kanwą niniejszego wpisu, ale do włączenia do swoich zawodowych prasówek publikacje tego wydawcy, jak wspomniany „Financial Worldwider”, „Risk&Compliance”, czy Corporate Dispute”. Przedstawiają one bowiem najbardziej nowe sytuacje rynkowe i trendy rynkowe widziane oczyma konsultantów, lub wyższej kadry zarządczej krajów wysokorozwiniętych. Jak pokazuje rzeczywistość wiele z przedstawianych przez nich zagrożeń powoli zaczyna się materializować w Polsce.
Zapraszamy do współpracy
Zespół Centre of Excellence / QSCert
Literatura:
- Magazyn “Financial Worldwide” artykuł: „TalkingPoint: Fresh linking: TPRM across the supply chain”, str. 26. – strona firmowa
- ISO 37001:2016 Anti-bribery management systems — Requirements with guidance for use,
- ISO 22301:2019 Security and resilience — Business continuity management systems — Requirements,
- ISO/TS 22318:2021 Security and resilience — Business continuity management systems — Guidelines for supply chain continuity management,
- ISO/IEC 27001:2022 Information security, cybersecurity and privacy protection — Information security management systems — Requirements,
- ISO/IEC 27036-2:2022 Cybersecurity — Supplier relationships — Part 2: Requirements,