Słowniczek TPRM, czyli podstawowe pojęcia, które musisz poznać zanim zaczniesz przygodę z zarządzaniem ryzykiem stron trzecich

- to zbiór procesów, który ma na celu uporządkowanie i zbudowanie kompleksowego systemu wspierającego i ułatwiającego nie tylko współpracę ze wszystkimi podmiotami zewnętrznymi, ale również kontrolę nad nimi i świadomość m. in. jakiego typu są to relacje, jak wiele ich jest, jaki wpływ mają na organizację itp.

- TPRM będący częścią TPM, to proces, który polega m.in. na identyfikacji, ocenie, zarządzaniu i monitorowaniu ryzyka, na jakie dana organizacja jest narażona w związku z nawiązywaniem relacji ze stronami trzecimi. Działanie to ma na celu weryfikację czy dana relacja ze stroną trzecią mieści się w określonym przez organizację apetycie na ryzyko, wprowadzanie ewentualnych działań mitygujących czy kontrolę występujących w tym obszarze incydentów, zmian i wyzwań. Zarządzanie ryzykiem stron trzecich to proces, który w ramach najlepszych praktyk powinien rozpoczynać się już na etapie zidentyfikowania potrzeby biznesowej, która zakłada zaangażowanie strony trzeciej i powinien trwać przez cały okres istnienia takiego kontraktu, aż do momentu rozwiązania współpracy.

- to pojęcie, które w ramach TPM wyodrębniliśmy w Deloitte w celu podkreślenia istoty tego obszaru w procesach TPRM, chodzi o dostosowanie się do zmiennego środowiska regulacyjnego i zgodność z obowiązkami raportowania wynikającymi z prawa,  bowiem poszczególni prawodawcy coraz częściej zwracają uwagę na strony trzecie oraz łańcuch dostaw, nakładając na podmioty gospodarcze odpowiedzialność za przestrzeganie wybranych wymogów w całym ekosystemie podmiotów zewnętrznych. 

- to zbiór kluczowych standardów, które firma powinna spełniać by móc działać w sposób odpowiedzialny i zrównoważony. Standardy ESG pod kątem ryzyka stron trzecich odnoszą się do zarządzania ryzykiem związanym z dostawcami, partnerami i usługodawcami, którzy mają wpływ na aspekty środowiskowe, społeczne i korporacyjne działalności organizacji. W praktyce organizacje powinny weryfikować, czy ich dostawcy, partnerzy i usługodawcy spełniają praktyki ESG, monitorować ich zgodność z tymi standardami oraz reagować na ewentualne nieprawidłowości. Standardy ESG mają na celu zarówno minimalizowanie negatywnego wpływu na środowisko i społeczeństwo, jak i promowanie długoterminowego, zrównoważonego wzrostu dla organizacji.

- zbiór działań, jakie podejmuje dana organizacja w celu zapewnienia klientom, dostawcom i regulatorom dostępności jej krytycznych funkcji biznesowych w przypadku wystąpienia zakłócenia (np. sytuacji kryzysowej). Zagadnienie to szczególnie zyskało na znaczeniu, kiedy skutki pandemii unaoczniły szereg wyzwań i wiele podmiotów borykało się z przerwaniem ciągłości działania ze względu na brak odpowiedniej odporności łańcuchów dostaw.

- działania w zakresie przewidywania, tworzenia, weryfikacji i aktualizacji planów wznawiania działania w obszarze kluczowych procesów organizacji, w przypadku wystąpienia zdarzeń nadzwyczajnych. Dotyczy to zarówno wydarzeń o niskim prawdopodobieństwie wystąpienia, ale także o katastrofalnych skutkach (np. pożar, powódź, katastrofa budowlana, skażenie chemiczne, sabotaż, terroryzm itp.), których czasu wystąpienia nie można przewidzieć. Celem BCP jest zbudowanie pewnego rodzaju odporności na tego typu zdarzenia, a w przypadku ich wystąpienia jak najszybsze przywrócenie organizacji do stanu pozwalającego na kontynuację działalności.

- rozporządzenie obowiązujące w Unii Europejskiej (UE), które reguluje przetwarzanie przez osoby fizyczne, przedsiębiorstwa lub organizacje danych osobowych dotyczących osób fizycznych w UE. Kwestie związane z RODO są szczególnie ważnym czynnikiem ryzyka, który należy wziąć pod uwagę w trakcie procesu zarządzania ryzykiem stron trzecich, bowiem odpowiedzialność za zabezpieczenie czy wykorzystanie lub przetwarzanie danych spada na organ zlecający i udostępniający takie dane stronom trzecim.

- zgodnie z wytycznymi Europejskiego Urzędu Nadzoru Bankowego (European Banking Authority (EBA)) „organizacja, która nawiązała relacje biznesowe lub zawarła z podmiotem umowę na dostawę produktu lub świadczenie usługi”. Stroną trzecią może być dostawca, sprzedawca, partner lub inny podmiot prowadzący interesy bezpośrednio z danym przedsiębiorstwem. 

- z perspektywy przedsiębiorstwa stroną czwartą określa się podwykonawcę danego dostawcy dla tego przedsiębiorstwa. Strona czwarta to podmiot, który współpracuje ze stroną trzecią, świadcząc dla niej określone usługi związane bezpośrednio z usługami dla przedsiębiorstwa. Stroną czwartą jest więc każdy dostawca, sprzedawca, partner lub inny podmiot prowadzący interesy bezpośrednio ze stroną trzecią tego przedsiębiorstwa. 

- świadczenie usługi przez poddostawcę strony trzeciej, którą powinna wykonywać dla przedsiębiorstwa dana firma (trzecia strona) w ramach umowy outsourcingowej.

- celem procesu due diligence w kontekście TPRM jest określenie czy i jakie zagrożenie dla organizacji stanowi dana strona trzecia. Jest to więc analiza, która ma na celu kompleksową weryfikację strony trzeciej oraz wszelkich dostępnych informacji na jej temat pod kątem:

• jej kondycji finansowej,
• zgodności funkcjonowania z obowiązującymi przepisami prawa,
• zgodności z przepisami podatkowymi,
• oceny działania wewnętrznych procedur obowiązujących w firmie,
• weryfikacji poddawane jest również otoczenie rynkowe spółki. 

- ciągły monitoring, weryfikacja i obserwacja strony trzeciej pod kątem ryzyka istotnego z punktu widzenia organizacji, która otrzymuje usługę/produkt od tej strony trzeciej.

- cykl obejmujący cały okres życia danej strony trzeciej w organizacji, czyli od wyboru dostawcy, poprzez analizę ryzyka, due diligence, akceptację ryzyka, kontraktowanie, monitorowanie, audytowanie, aż po wznowienie kontraktu lub jego zakończenie.

- ryzyko inherentne, jest to ryzyko nieodłączne danej organizacji, które występuje naturalnie bądź też samoistnie w związku z prowadzoną działalnością. Ryzykiem inherentnym będzie ryzyko związane z oferowanymi przez instytucję obowiązaną produktami i usługami, klientami, których obsługuje, oraz transakcjami przeprowadzanymi przez tych klientów. Przykładem może być firma, która zleca innej firmie IT zarządzanie swoją infrastrukturą chmurową, gdzie ryzykiem inherentnym będzie naruszenie bądź utrata danych wrażliwych przechowywanych w tej chmurze wynikające np. z awarii systemu czy błędów ludzkich po stronie dostawcy.

- ryzyko rezydualne, jest to tak zwane ryzyko cząstkowe lub resztkowe, które pozostaje po wprowadzeniu procedur kontroli ryzyka inherentnego. Posługując się przykładem podanym w definicji ryzyka inherentnego, przykładem ryzyka rezydualnego będzie sytuacja, w której to pomimo wprowadzonej kontroli (kontrolą może być wprowadzenie umowy o gwarantowanym poziomie świadczenia usług (eng. Service Level Agreement), która określa wymagania ze strony dostawcy w celu zabezpieczenia danych, ich szyfrowania i kontroli dostępu) w dalszym ciągu będą istniały luki w zabezpieczeniach, które mogą zostać wykorzystane przez hakerów w celu przechwycenia czy też zniszczenia danych.

- świadczenie usługi przez poddostawcę strony trzeciej, którą powinna wykonywać dla przedsiębiorstwa dana firma (trzecia strona) w ramach umowy outsourcingowej.

- to plan działań przedsiębiorstwa na wypadek:

• zakończenia współpracy z dostawcą,
• awarii po stronie usługodawcy (np. awaria systemu w przypadku korzystania z modelu SaaS),
• obniżenia poziomu jakości świadczonej usługi, które to uniemożliwia dalsze korzystanie z tej usługi,
• podjęcia decyzji biznesowej o zmianie dostawcy, czy też przeniesieniu usługi do infrastruktury wewnętrznej (on-prem),
• zakłóceń w działalności organizacji, których przyczyną jest niewłaściwe lub nieudane wykonanie usługi.

Odpowiednio przygotowany Exit Plan umożliwia szybkie i sprawne działanie w sytuacjach kryzysowych, tak, aby zminimalizować potencjalne skutki takiego wydarzenia.

- jest to ustalony i precyzyjnie określony poziom ryzyka, jaki dana organizacja jest gotowa zaakceptować, żeby zrealizować założone sobie wcześniej cele. Powinien on uwzględniać potencjalne korzyści, a także zagrożenia, jakie wynikają z jego przyjęcia, a w uzgodnienie jego poziomu powinny być zaangażowane wszystkie osoby pełniące funkcje decyzyjne w organizacji.

- to sieć wzajemnych powiązań pomiędzy przedsiębiorstwem a wszystkimi podmiotami zewnętrznymi, z których korzysta dane przedsiębiorstwo, obrazująca również ewentualne zależności pomiędzy samymi stronami trzecimi.

- istnieje wiele definicji łańcucha dostaw, bowiem jest to złożone pojęcie. Dla uproszczenia nazywamy go systemem/zbiorem powiązań pomiędzy poszczególnymi podmiotami działającymi wspólnie, który pozwala na dostarczenie produktu końcowego do klienta docelowego. W jego skład wchodzą m.in.: producenci, dostawcy, pośrednicy, przewoźnicy, dystrybutorzy itd.

- podmiot świadczący usługi lub dostarczający towary dla danej organizacji. Na przykład: firma ochroniarska, agencja eventowa, serwis sprzątający, firma kurierska, dostawca artykułów biurowych, dostawca energii elektrycznej, dostawca towarów, przewoźnik, call center, producent oprogramowania itp.

- w Deloitte mianem tym nazywamy model funkcjonowania przedsiębiorstw, w którym dany podmiot gospodarczy, aby sprawnie funkcjonować, rozwijać się i zwiększać przewagę konkurencyjną korzysta z możliwości jakie daje mu nawiązywanie relacji z różnego rodzaju stronami trzecimi. Relacje te jednak oprócz korzyści pociągają za sobą również pewne ryzyka, które należy identyfikować i zarządzać nimi w ramach procesów TPRM.

- podejście/strategia/struktura organizacyjna opierająca się na trzech filarach, czyli ładzie korporacyjnym (czasem określany jako nadzór korporacyjny), ryzyku oraz zgodności. Połączenie tych trzech obszarów ma zapewnić organizacji ramy, dzięki którym nie tylko określone zostaną zasady zarządzania i odpowiedzialność za nie, ale również zidentyfikowane zagrożenia i ryzyko, a także zapewniona zgodność z kluczowymi przepisami, najlepszymi praktykami i etyką.

- to proces, który ma na celu weryfikację informacji na temat wybranej strony trzeciej na podstawie danych dostępnych w publicznych źródłach. W procesach TPRM wyróżniamy dwa podstawowe rodzaje skanowania, pierwszym z nich jest initial screening zazwyczaj odbywający się przed rozpoczęciem relacji/współpracy z wybranym podmiotem, natomiast w trakcie trwającej współpracy przeprowadza się tak zwane „on-going screening”, czyli stałe sprawdzanie pojawiających się informacji na temat konkretnego dostawcy, które jest częścią etapu monitorowania.

- istnieje wiele definicji tego pojęcia, my określamy go jako metodę klasyfikacji dostawców na podstawie poziomu ich krytyczności jaki stanowią dla organizacji. W procesie podziału dostawców, każdy podmiot zostaje poddany analizie pod kątem poziomu zagrożenia, jakie może stanowić dla przedsiębiorstwa, z którym wchodzi w relacje. W tym celu analizie poddawane są następujące elementy:

• poziom krytyczność dostawcy i usługi dla biznesu usługobiorcy,
• poziom wrażliwości danych procesowanych przez dostawcę,
• dostęp dostawcy do wewnętrznych systemów i informacji poufnych,
• wymogi regulacyjne jakie dostawca jest zobligowany spełniać.

Taka procedura pozwala na sklasyfikowanie dostawców według wcześniej ustalonych poziomów ryzyka/zagrożeń (tzw. krytyczności). W zależności od źródła można znaleźć różne sposoby klasyfikacji dostawców, najczęściej jednak stosuje się dwa poniższe:

• Klasyfikacja według poziomu wartości (eng. Tier): Tier 1, Tier 2, Tier 3, gdzie Tier 1 reprezentuje najwyższy poziom zagrożenia, a Tier 3 najniższy oraz
• Klasyfikacja według nomenklatury: Critical, High, Moderate, Low, Minor.

Vendor Tiering jest więc narzędziem, które w dłuższej perspektywie czasu pozwala na zwiększenie wydajności całego procesu TPRMowego. Wiąże się to z faktem, że dostawca o niskim poziomie krytyczności (Tier 3/ Low criticality) będzie podlegał mniej rozbudowanej analizie ryzyka i mniejszej ilości kontroli, niż dostawca, który został zakwalifikowany do poziomu Tier 1/Critical, czyli taki, z którym wiąże się wysokie ryzyko zagrożeń.

- działanie lub zbiór działań, który ma na celu poprawę lub usunięcie zidentyfikowanych wcześniej czynników ryzyka lub wyzwań w obszarze ryzyka. Celem wprowadzenia działań remediacyjnych jest zneutralizowanie aspektów stanowiących ryzyko, które bez wprowadzenia tych działań mogłyby mieć negatywny wpływ na jakikolwiek obszar działalności przedsiębiorstwa.

- ograniczanie/ łagodzenie/ zmniejszanie prawdopodobieństwa wystąpienia ryzyka lub innych niepożądanych zdarzeń. 

- zbiór pytań dotyczących konkretnego dostawcy i/lub wykonywanej usługi, pozwalający na zgromadzenie informacji niezbędnych do oszacowania jaki rodzaj i poziom ryzyka jest związany z nawiązaniem relacji z konkretnym dostawcą. Pytania te zazwyczaj podzielone są na określone obszary tematyczne, a każda z odpowiedzi uzyskuje „wagę”, na podstawie, której w następstwie po zsumowaniu wyników określany jest poziom towarzyszącego ryzyka. 

- jednostka odpowiedzialna za koordynowanie i nadzorowanie zakupów produktów i usług w tym m.in. za przeprowadzenie i organizowanie procesów zakupowych, analizę rynku, pomoc w negocjowaniu korzystnych warunków umowy, zarządzanie kontraktami, opracowanie procedur niezbędnych do wypełnienia w całym procesie nabywania. W ramach rozbudowanych i dojrzałych działów zaopatrzenia dodatkowo wyróżnia się zespoły zakupowe, które odpowiadają m.in. za zamówienia, odbiór towarów, przygotowanie zapytań ofertowych itp.

- w procesach TPRM to nic innego jak pogłębiona osobista/stacjonarna weryfikacja strony trzeciej, z którą nawiązaliśmy lub zamierzamy nawiązać relację. Przebieg takiego audytu w każdej jednostce może wyglądać inaczej i powinien odbywać się w oparciu o wcześniej zdefiniowane i opisane zasady, które przed taką kontrolą są zakomunikowane również stronie trzeciej w celu udostępnienia odpowiednich powierzchni/dokumentacji czy osób, które pozwolą taki audyt przeprowadzić.

- wszystkie zidentyfikowane aspekty, które mogą rodzić negatywne konsekwencje lub budzą wątpliwości i w celu uniknięcia ich ewentualnych niekorzystnych skutków jakie mogą za sobą potencjalnie nieść, należy szczegółowo przeanalizować i właściwie zaadresować. 

- osoba, która posiada rozbudowaną wiedzę merytoryczną w danej dziedzinie, sprawnie nią zarządza i stale rozwija daną domenę wiedzy.

- to zestaw pisemnych instrukcji opisujących krok po kroku proces. SOP zapewnia zasady, procesy i standardy potrzebne organizacji do odniesienia sukcesu, które mogą przynieść korzyści firmie, zmniejszając liczbę błędów, zwiększając wydajność i rentowność, tworząc bezpieczne środowisko pracy, a także opracowując wytyczne dotyczące rozwiązywania problemów i pokonywania przeszkód.

- umowa pomiędzy zaangażowanymi stronami mająca na celu określenie gwarantowanego poziomu i jakości świadczenia usług oraz jej warunków.

- narzędzie pozwalające w przejrzysty sposób zebrać działania/zadania w ramach projektu/procesu i przypisać odpowiedzialność za nie, a także jej formę do poszczególnych zespołów/ról/osób.  

- CLM również jest częścią TPM i skupia się na wszelkiego rodzaju kontraktach/umowach tworząc procesy wspierające ich weryfikacje, archiwizację, uporządkowanie czy kontrolę.

- w ramach TPM wyróżniamy również takie działania jak weryfikacja czy przestrzegane są uzgodnione warunki umowne, przegląd partnerów biznesowych w zakresie zgodności ze zobowiązaniami umownymi, negocjacje dotychczasowych warunków w oparciu o zaistniałe incydenty czy raporty z oceny współpracy ze stroną trzecią. Wszystkie te działania prowadzić mają do uzyskania optymalizacji kosztów i przychodów w ramach relacji ze stronami trzecimi.

- sposób pomiaru wydajności dostawców (np. przestrzeganie SLA) lub też wydajności operacyjnej programu zarządzania ryzykiem strony trzeciej (np. średnia liczba dni do ukończenia oceny due diligence).

- kluczowy wskaźnik ryzyka to sposób pomiaru (bazujący na danych ilościowych i jakościowych), który pomaga przewidzieć następstwo niekorzystnych zdarzeń w organizacji mogących negatywnie wpływać na jej funkcjonowanie. KRI jest narzędziem stosowanym w procesie zarządzania ryzykiem umożliwiającym identyfikacje, monitorowanie i kontrolę ryzyka (działania zaradcze). KRI przede wszystkim koncentruje się na działaniach zapobiegawczych celem uniknięcia wystąpienia niekorzystnego zdarzenia bądź, jeśli zdarzenie jest nieuniknione, ma za zadanie minimalizować jego skutki. 

Przykłady KRI:

1. Działanie: Aktualizacja systemu operacyjnego:
   • Jakie istnieje ryzyko: utrata danych / uszkodzenie danych podczas aktualizacji systemu i tworzenia kopii zapasowych danych
   • Zaproponowane KRI: prowadzenie pomiaru ilości błędnie utworzonych zapasowych kopii danych
2. Działanie: Stosowanie się do wymogów regulacyjnych RODO:
   • Jakie istnieje ryzyko: naruszenie wytycznych RODO, które może skutkować poważnymi sankcjami finansowymi lub utratą reputacji
   • Zaproponowane KRI: prowadzenie pomiaru czasu poświęconego na odpowiedzi dot. zapytań/próśb związanych z zarządzaniem danymi osobowymi składanych przez jednostki, których te dane dotyczą