A szervezetek – legyenek magántulajdonú, állami cégek, vagy a non-profit szektor szereplői – egyre növekvő arányban dolgoznak olyan külső beszállítókkal, akik az üzletmenet szempontjából kritikus folyamatokat támogatnak. Ezek a kapcsolatok a pozitív üzleti hozadékok mellett többféle kockázatot is magukban rejtenek. A külső beszállítók esetleges politikai vagy gazdasági összefonódásai, vagy az általuk elkövetett szándékos vagy véletlen hibák, vagy egyszerűen csak gyengeségek rombolják a megbízóik hitelét, működési problémákat okozhatnak, és nem utolsósorban indokolatlan mértékben csökkentik a vállalat profitabilitását. Ezeket a potenciális problémákat nevezzük gyűjtő néven harmadik felekkel kapcsolatos kockázatoknak, a kezelésüket pedig Third Party Risk Managementnek (TPRM).
Az erre vonatkozó kutatásunk szerint tízből hat cég volt már érintett olyan szabálysértési eljárásban, ahol a probléma egy harmadik fél tevékenységére volt visszavezethető.
Azonban a probléma felismerése láthatóan nem jár együtt a megoldással. A válaszadók mindössze 41 százaléka állította, hogy cége egységesen kezeli a harmadik fél fogalmát, és 74 százalék mondta, hogy a mostaninál egységesebb, átfogó TPRM gyakorlatot tart szükségesnek. Csakhogy a cégek felénél nincs kapacitás arra, hogy belső erőforrásra támaszkodva lássák el a kockázatkezelést, ezért digitális megoldások bevezetésén dolgoznak.
A nagyvállalatok már a járvány előtt is számos üzletfolytonossági kockázatot rejtő feladatot bíztak külső cégekre. A bérszámfejtés, a vevőszolgálat számtalan esetben kiszervezetten valósult meg, az informatikai rendszerek karbantartását és fejlesztését zömmel harmadik fél biztosítja, és a fizikai javak, készletek, épületek kezelésében, karbantartásában és őrzésében is sok volt a szerződött szolgáltató, nem beszélve az értékesítési mechanizmusba bevont disztribútorokról és franchise partnerekről.
Ezek eddig is számos – adatszivárgási, reputációs, ellátási – kockázatokat hordoztak magukban, minderre nagymértékben ráerősített a járvány, és ezek a kockázatok rendkívüli módon növelik a vállalatok kitettségét és sérülékenységét. A járvány járulékos hatásai leginkább az ellátási- és az értékesítési lánc zavaraiban mutatkoztak meg. A forgóeszköz készletek apadásáról, az alapanyag hiányról számos statisztika készült, azt pedig el tudjuk képzelni, hogyan hat vissza egy termék hírnevére, ha külső szolgáltató által végzett kiszállítása nem, vagy rosszul megoldott.
A fentieken túl egyre jobban felértékelődnek a harmadik felek tevékenységében rejlő környezeti, társadalmi vagy etikai, compliance kockázatok, amelyek menedzselése szintén egyre komolyabb feladat azon cégek számára, amelyek közvetlen kapcsolatban állnak a fogyasztókkal, hiszen a fenntarthatósági elvárások a járvány alatt előtérbe kerültek, így kisebb hibák is komoly reputációs kockázattal járnak, sőt komoly fogyasztói bojkott mozgalmakkal fenyegetnek.A szervezetek túlnyomó többségének van még feladata a TPRM-érettség elérése terén. Az út négy fejlődési szakaszra oszlik, a lépések egymásra épülnek.
A munka az egységes szemlélet kialakításával kezdődik, ami azt jelenti, hogy a szervezet pontosan meghatározza a TPRM-mel kapcsolatos feladatokat és felelősségeket, valamint a TPRM helyét a vállalaton belül. A második szakasz a modellezés, aminek jelentőségét az adja, hogy a vállalat szinte minden szervezeti egysége dolgozik külső szolgáltatóval, és minden külső partnernél más az egyes kockázat típusok súlya, és mindegyiknél fellelhető van csak rá jellemző kockázat is. A modellezés ennek felmérése, és annak tudatosítása, hogy ez nem egyszeri feladat, hanem folyamatos, amihez meg kell teremteni a szervezeten belüli erőforrásokat.
A TPRM működtetésének alapja, hogy a szervezetnek meg kell határoznia azokat a minimumkritériumokat, amelyek nélkül harmadik felek nem kerülhetnek üzleti kapcsolatba a vállalattal. Számolni kell azzal is, hogy ez olykor korábbi jó kapcsolatok megszakadásához vezethet. A negyedik szakasz az innováció, amikor döntést kell hozni arról, hogy most, vagy a jövőben kíván-e mesterséges intelligenciát alkalmazni a proaktív kockázat monitoringhoz. Ez számos előnnyel kecsegtet, de az ilyen rendszerek létrehozásához a mesterséges intelligencia igényeinek (például az adatszükséglet) kielégítésére már most készülni kell.
A TPRM-érettséghez vezető út itt vázolt lépései feltételezik a harmadik felekkel kapcsolatos állandó és felülvizsgált aktivitásokat (például a rendszeres átvilágításokat), a folyamatjavítást és az innovációt. Ezek közé tartozik a historikusan adott és működtetett harmadik félre vonatkozó adat- és információgyűjtés módszertanának és folyamatának felülvizsgálata, a rendszeres ellenőrzések gyakorlati alkalmazása, különös tekintettel arra, hogy a gazdasági környezet változásaival új kockázatok, új kihívások bukkanhatnak elő.
Az ügyfelek tekintetében egyrészt vannak a szervezetre csekély rizikót jelentő harmadik felek, akiknél a kockázatok azonosítására és súlyozására nincsen szükség. Az ügyfelek másik kategóriáját képezik a TPRM standard folyamatba illeszthető külső partnerek. Végezetül az ügyfelek harmadik csoportja egy homogén kockázati profillal leírható, és központilag így hatékonyan menedzselhető.
A harmadik felek általi kitettséggel rendelkező szervezetek jövőállósága szempontjából kritikus jelentőségű, hogy pontosan megfogalmazzák a kulcsterületeken az üzleti folyamataikba beszállító harmadik felekkel kapcsolatos irányelveiket, és mielőbb megteremtsék a szükséges kontrollkörnyezetet.
A szerző a KPMG igazgatója. A hivatkozott kutatás ide kattintva érhető el.
Címlapkép: Getty Images
