Возрастающее число третьих лиц, которых привлекают компании в своей деятельности, заставляет заново задуматься об управлении рисками. Степень их вовлеченности варьируется от рациональной экономии ресурсов до предоставления доступа на мировые рынки. Подобное разнообразие требует более тщательного отбора будущих партнеров со стороны правления.

Ловушки от третьих лиц

Сеть контактов сторонних отношений для одной компании может ошеломить своей масштабностью. Согласно опросам, предприятия недооценивают подобные связи по уровню опасности, поскольку только 21% компаний включают управление рисками в свой бюджет [1]. Получение исчерпывающих сведений о третьих лицах обусловлено целым рядом причин:

  • Отсутствие основ для идентификации. Многие компании часто не знают о привлеченных лицах ввиду следующих обстоятельств: Во-первых, тесное сотрудничество с ними обеспечивается усилиями сотрудников конкретного отдела. Так, IT-департамент привлекает IT-поставщиков, отдел закупок отвечает за цепочку доставок. Во-вторых, ряд стран полагается на исторические отношения или традиции при ведении бизнеса. Например, в некоторых культурах принято полагаться на слово партнера, что не предусматривает оформления официальных соглашений. Исследования показали, что только 8% компаний проводят собственную экспертизу или обращаются к четвертой стороне для мониторинга третьих лиц [1].
  • Спорная целесообразность. Члены правления не имеют возможности наблюдать в режиме реального времени за рабочим днем привлеченных лиц. К тому же, их функции могут меняться в зависимости от текущих задач. Например, компанией был приглашен промоутер для привлечения клиентов к новой продукции, но, при отсутствии потребителей, менеджер решил использовать его на ином поприще. Любые кадровые перемещения должны быть продуманы заранее в качестве возможной альтернативы и согласованы с советов директоров.      
  • Моральные противоречия. Третьи лица могут проводить деловые операции за пределами страны пребывания, поэтому некоторые инициативы часто нарушают местные законы или этические принципы. Так, подарки и иные знаки внимания воспринимаются как привычный порядок вещей на постсоветском пространстве, хотя в США они считаются одной из форм коррупции. Члены правления могут узнать, в чем заключаются особенности национального бизнеса именно благодаря усилиям третьих сторон. 
  • Отбор кандидатур. Иногда, при оценивании либо привлечении третьих лиц, отсутствуют компетентные специалисты, способные подобрать правильного партнера. Например, компания рассчитывает увеличить свою клиентуру за счет иных стран, не задумываясь о потенциальных рисках обмена данных. Разрозненный подход к управлению рисками третьих сторон между внутренними подразделениями компании оборачивается дополнительными потерями времени и ресурсов.   
  • Кибер-безопасность и соблюдение конфиденциальности. Компании все чаще обращаются к практике онлайн-закупок, облачным ресурсам и цифровому анализу данных, используя сторонних лиц для запуска процессов. Опасность заключается в том, что члены правления не имеют представления об их уровне доступа к ценным сведениям. Количество жертв, связанных с утечкой информации, ежегодно увеличивается. Кроме того, 25 мая 2018 г. Европейским Союзом были приняты новые положения Общего регламента по защите данных (GDPR), согласно которым компании могут быть оштрафованы на сумму до 24 млн. долларов за нарушение установленных норм [1].

Как выглядит эффективная программа управления рисками третьих сторон?

Прежде всего, необходимо убедиться, что генеральный директор располагает достоверной информацией о ресурсах компании. Также подумайте о назначении специального человека, отвечающего за риски в цепочке доставки и других глобальных операциях. Обеспечьте ему доступ ко всем резервам предприятия для адекватного реагирования на опасность. Продуманная программа управления рисками третьих сторон включает следующие пункты:

  1. Конкретизация. Перед тем, как вести разговор об угрозе, определитесь, что означает «третья сторона» для Вашей компании. После, расставьте приоритеты среди потенциальных угроз по степени важности с целью сузить круг возможных оппонентов. Для начала, обратитесь к информации о закупках, предоставлении услуг и иным контрактам относительно выплат.
  2. Разработка процедур. Для предупреждения рисков, стоит включить в условия договора данные о стандартах и уровне ожиданий со стороны компании. Например, некоторые предприятия весьма щепетильны в соблюдении экологических, социальных или трудовых норм теми поставщиками, с которыми они сотрудничают. Любое нововведение должно фиксироваться в письменном виде.
  3. Оценка. По сути, Вы оцениваете не столько личность или компанию, сколько вероятность нарушения ими установленных правил. При наличии у третьей стороны неразрешенных проблем, которые могут негативно повлиять на репутацию предприятия, следует дождаться их решения перед заключением контракта о сотрудничестве. Так, из-за высокого риска кибер-атак, жизненно необходимо понимать, как третьи стороны обрабатывают, передают и сохраняют полученные данные.
  4. База поставщиков. Многие компании обращаются к независимой оценке надежности дистрибьюторов для уменьшения угрозы дестабилизации. Члены правления некоторых предприятий акцентируют внимание на уменьшении количества поставщиков в зависимости от районирования или требуемого объема сырья. Анализ процесса закупок позволит повысить эффективность и сэкономить деньги, без ущерба текущей деятельности.   

Конечно, комплексные проекты сложно реализовывать, но только в процессе работы, компания может точно определить, какой элемент системы дает сбой. По опыту следует сказать, что предприятию вряд ли удастся учесть все риски третьих сторон. Но использование продуманной политики и моно-подхода убережет компанию от их значительной части.

Какова роль совета директоров?

Для начала, стоит определить уровень вовлеченности правления в управление рисками третьих сторон. Многие руководители поручают данную миссию комитетам по аудиту либо комплаенсу. Тем не менее, совет должен держать руку на пульсе всех инноваций, связанных с корректированием программы по мониторингу угроз. Не последнюю роль играют регулярные отчеты и встречи в рамках указанного вопроса.

Отчеты могут содержать общий каталог рисков третьих лиц, а также новых участников деловой активности. Главная цель заключается в том, чтобы донести до совета критические моменты будущих бизнес-операций. Также следует указать на контракты, срок действия которых истекает в ближайшие дни. Именно правление выносит окончательное решение об их продлении.

Таким образом, привлечение третьих лиц в различных ипостасях превратилось в неотъемлемую часть бизнес-ландшафта. Наравне с преимуществами, такие партнеры несут в себе скрытые угрозы, контроль за которыми часто затруднен внешними или внутренними факторами. Наличие эффективной программы управления рисками под эгидой правления позволит компании выбрать адекватную модель поведения.  

 

Список источников:

1.     https://www.pwc.dk/da/publikationer/2019/pwc-how-your-board-can-oversee-third-party-risk.pdf

Читайте также: