Многие компании до сих пор обходят вниманием риски, связанные с деятельностью субподрядчиков сторонних поставщиков, известных как четвертые стороны. Представим ситуацию: в вашей цепочке поставок около 100 поставщиков, из которых 60 используют услуги определенного субподрядчика. Насколько масштабными окажутся последствия, если последний нарушит сроки поставок? Вполне объяснимо, почему мониторинг рисков четвертых лиц сегодня настолько актуален.

Стартовая позиция

Ключевая проблема управления рисками четвертых сторон состоит в неуверенности многих компаний, с чего именно начать, чтобы добиться адекватного контроля над субподрядчиками. Прежде всего, обратите внимание на следующие моменты:

  • Уточните отраслевые принципы. При оценке рисков четвертых лиц следует изучить нормативные требования в своей отрасли. Обратитесь к внутренним аудиторам для составления перечня документов, необходимых для ознакомления.
  • Настройте диалог со сторонними поставщиками. Отношения тет-а-тет с поставщиками достаточно сложны без учета позиции их субподрядчиков. Поэтому стоит расширить круг лиц для ведения дискуссий, включив в него, как третьи, так и четвертые стороны. Посредством такого диалога Вы сможете выяснить способ передачи и хранения корпоративных данных, прояснив имеющиеся процедуры защиты информации.
  • Соотнесите четвертые стороны с экосистемой вашего поставщика. Конкретизация и систематизация полной информации о четвертых лицах поможет лучше оценить потенциальные риски для компании. Правда, сбор данных часто сопровождается сложностями. Так, многие поставщики не имеют представления, с какими субподрядчиками связаны и кто из них имеет доступ к данным вашей фирмы. Можно обратиться к программе BitSight Discover, которая выделяет потенциально опасных субподрядчиков и исключает принятие необоснованных решений.
  • Контролируйте поставщиков через рейтинги безопасности. После составления списка критически важных четвертых сторон, отслеживайте их рейтинги безопасности. Падение показателей указывает на погрешности в системы безопасности и необходимость их устранения. Слабое звено в цепочке поставок может серьезно навредить бизнесу.

Разработка программы управления рисками четвертых лиц

Согласно исследованиям KMPG, регулирующие инстанции ожидают от компаний эффективного управления третьими и четвертыми сторонами по аналогии с внутренними подразделениями предприятия (Пресс-релиз «Does Your Third-Party Risk Program Extend Far Enough?» для KMPG, 2017). Поэтому мониторинг рисков четвертых лиц является одним из приоритетных элементов корпоративной TPRM программы (Third-Party Risk Management).

Цель последней состоит в возможности идентификации субподрядчиков и оценке контроля над ними. Результатом проверки служит получение информации, на основе которой принимается решение о привлечении соответствующей третьей стороны, зависящей от услуг четвертого лица. К базовым компонентам TPRM программы для управления и мониторинга рисков четвертых сторон относятся:

Ключевые компоненты Алгоритм действий при разработке TPRM программы
Стратегия

   Определите ситуации, при которых третьим лицам целесообразно привлекать четвертую сторону.

Установите риск-аппетиты компании и третьих лиц при использовании услуг субподрядчиков.

Управление

      Проведите оценку рисков для сторонних партнеров, чтобы выяснить, при каких обстоятельствах используются четвертые стороны, а также имеется ли у вашей третьей стороны адекватная программа управления рисками для субподрядчиков, соответствующая вашим ожиданиям.

Конкретизируйте обязанности по управлению рисками третьих сторон, с учетом частоты обращения к субподрядчикам.

Политика и процедуры

       Установите в рамках корпоративной политики, какие из четвертых сторон представляют важность для оценки и мониторинга потенциальных рисков, а также определите критерии идентификации и оценки угроз.

Создайте кризисный центр для экспертизы рисков четвертых сторон и составления протоколов отчетности, включая:

  • Критерии для обнаружения весомых субподрядчиков, а также рейтинг рисков;
  • Мероприятия для надлежащей проверки и оценки угроз относительно четвертых лиц с высокой степенью риска;
  • Методы и критерии оценки TPRM программы третьих лиц для контроля над четвертыми сторонами.
Персонал

    Привлекайте компетентных и обученных сотрудников для участия в работе кризисного центра мониторинга рисков четвертых лиц. Эксперты должны разбираться в проблемах взаимодействия с третьими сторонами для адекватной оценки их TPRM программы контроля над субподрядчиками.

Стоит убедиться в подотчетности экспертов, которые привлекаются для оценки рисков четвертых сторон (например, принадлежность к отделу информационной безопасности или комплаенса).

Информационные технологии и отчетность Цифровые инструменты позволяют систематизировать оценки рисков четвертых сторон для обеспечения адекватного управления, а также фиксировать основные потоки данных по ключевым сторонним партнерам, методы их защиты и обмена с субподрядчиками.
Бизнес-планирование

    Определите, соответствуют ли продукция/услуги третьих лиц разработанной стратегии сотрудничества с четвертыми сторонами.

Идентифицируйте субподрядчиков, которых привлекают третьи стороны.

Политика должной осмотрительности (Due Diligence)

Привлечение или создание центра для проведения комплексной проверки и оценки рисков включает:

  • Конкретизацию критически важных четвертых сторон;
  • Ориентацию на рейтинг риска последних;
  • Проведение специальных процедур должной осмотрительности для проверки и оценки угроз;
  • Оценка TPRM программы третьей стороны.

Разработка плана прекращения деятельности, с учетом позиции четвертых сторон.

Заключение договоров

Разработайте стандартные положения для включения в контракты, связанные с привлечением четвертых сторон при взаимодействии либо прекращении сотрудничества с ними.

Разработайте пункты контракта, исключающие использование четвертых лиц в случае несоответствия продукции/услуги риск-аппетиту или стратегии компании.

Рассмотрите случаи, когда заключение контракта непосредственно с четвертой стороной является оправданным действием.

Разработайте процедуры получения подтверждений от третьих лиц, что выявленные риски устранены, а условия контракта выполняются в полном объеме, согласно подписанным протоколам.

Мониторинг

Используйте подход на основе оценки риска для проведения процедур должной осмотрительности, связанных с привлечением субподрядчиков третьими лицами.

Проводите постоянный мониторинг использования третьими сторонами субподрядчиков, в том числе:

  • Отслеживайте внесение изменений сторонними партнерами в отношения с четвертыми лицами и требуйте совместного предварительного одобрения для привлечения новых субподрядчиков;
  • Периодически просматривайте TPRM программу третьей стороны с фокусировкой внимания на критически важных четвертых лицах.
Завершение сотрудничества Проконтролируйте прекращение работы с конфиденциальными данными компании, клиентской базой и пр. в случае завершения взаимодействия третьих лиц с важными субподрядчиками.

Таким образом, компаниям необходимо иметь четкое представление об услугах, которые предоставляются третьими лицами, и четвертых сторонах, играющих ключевую роль в их деятельности. Учитывая высокие нормативные ожидания регуляторов, а также сложность проведения мониторинга, предприятиям следует разработать TPRM программу, предусматривающую не только процедуры должной осмотрительности, но и способы демонстрации контроля над субподрядчиками, согласно пожеланиям регулирующих органов.

Источники:

https://advisory.kpmg.us/content/dam/kpmg-advisory/risk-consulting/pdfs/2017/04/fourth-party-risk-management.pdf

https://www.bitsight.com/blog/what-you-need-to-know-fourth-party-vendor-risk

Читайте также: