مدیریت ریسک شخص ثالث: راهنمای بهترین شیوهها (TPRM)
مقدمه: مبانی مدیریت ریسک شخص ثالث (TPRM)
مدیریت ریسک شخص ثالث (TPRM) یکی از مهمترین جنبههای حاکمیت شرکتی مدرن است. پیش از آنکه به جزئیات این راهنما بپردازیم، اجازه دهید درک مشترکی از TPRM پیدا کنیم. امروزه اکثر شرکتها نوعی از مدیریت حاکمیت، ریسک و انطباق (GRC) را پیادهسازی کردهاند. حاکمیت به معنای تعیین اهداف و مقاصد برای سازمان و مشخص کردن رویکرد کلی توسط تیم اجرایی و هیئت مدیره است.
مدیریت ریسک به بررسی عواملی میپردازد که ممکن است اشتباه پیش بروند و سازمان را از دستیابی به اهدافش بازدارند. شرکتها تا جای ممکن کنترلهایی را برای کاهش این ریسکها و محافظت در برابر نتایج منفی اعمال میکنند. انطباق نیز به معنای پیروی از قوانین، مقررات، استانداردها یا دستورالعملهای عملیاتی تعیینشده توسط نهادهای دولتی یا صنعتی است. شرکتها سیاستها و رویههایی را برای اطمینان از پیروی کارکنان از مراحل مناسب در عملیات روزمره کسبوکار تدوین میکنند.
امروزه، سازمانها با فروشندگان، اشخاص ثالث و تأمینکنندگان خارجی بسیاری همکاری میکنند. اطمینان از اینکه هر شریک تجاری خارجی در زمینه حاکمیت، ریسک و انطباق عملکرد درستی دارد، بسیار مهم است. در غیر این صورت، اقدامات (یا عدم اقدامات) آنها میتواند برای شما دردسرساز شود. مدیریت ریسک شخص ثالث به معنای تمرکز دقیق بر سیاستها، رویهها، ریسکها و کنترلهای شرکتهای خارجی است که با آنها کار میکنید. مهم است که اشخاص ثالث به اندازه سازمان شما منظم و وظیفهشناس باشند. سابقه همکاری مؤثر و روابط قوی کافی نیست. شرکتها باید کسبوکار شرکای خود را بررسی کنند تا اطمینان حاصل کنند که آن فروشندگان کارها را به درستی انجام میدهند. به قول معروف، اعتماد کنید، اما راستیآزمایی کنید.
چرخه حیات مدیریت ریسک شخص ثالث
در نهایت، شرکت شما مسئول اشتباهات یا شکستهای شرکای تجاریتان خواهد بود و این مسئولیت شماست که اطمینان حاصل کنید اشخاص ثالث شما کسبوکار خود را مسئولانه اداره میکنند. نظارت و بازرسی اشخاص ثالث برای حاکمیت شرکتی خوب اهمیت فزایندهای دارد.
سه جزء اصلی برای راهاندازی یک برنامه موفق مورد نیاز است:
- پذیرش (Onboarding): فرآیند اولیه برای ورود یک فروشنده جدید.
- ارزیابی اولیه (Due Diligence): بررسی دقیق فروشنده قبل از عقد قرارداد.
- نظارت مستمر (Ongoing Monitoring): پیگیری و ارزیابی مداوم پس از عقد قرارداد.
بسیاری از سازمانها با بار سنگین اداری مرتبط با پذیرش اولیه و ارزیابی که قبل از قرارداد اتفاق میافتد، و با نظارت مستمر که پس از قرارداد انجام میشود، دست و پنجه نرم میکنند. وظایف اداری دستوپاگیر مرتبط با این مراحل کلیدی، بسیاری از شرکتها، بهویژه شرکتهایی با تیمهای مدیریت ریسک کوچکتر را زمینگیر میکند.
اجزای سازنده برنامه: پذیرش و نظارت مستمر
هنگام ساختن یا ارتقاء یک برنامه مدیریت ریسک شخص ثالث، مهم است که بدانیم کار هم قبل و هم بعد از امضای قرارداد انجام میشود. فرآیند پذیرش پیش از قرارداد (معمولاً شامل ارزیابی ریسک ذاتی و بررسی اولیه) برای جلوگیری از ورود حداکثری ریسک از همان ابتدا طراحی شده است. فرآیندهای پس از قرارداد (نظارت مستمر و بررسی خدمات) برای اطمینان از اینکه در طول زمان تغییری در وضعیت فروشندگان ایجاد نشده و آنها خدمات خود را مطابق با انتظارات ارائه میدهند، اجرا میشوند.
جریان کار پذیرش فروشنده
جریان کار پذیرش زمانی آغاز میشود که سازمان نیاز به عقد قرارداد با یک فروشنده جدید دارد. در این فرآیند سه بازیگر اصلی وجود دارند:
- کاربر واحد تجاری (LOB): عضوی از سازمان (منابع انسانی، مالی، حقوقی و غیره) که نیاز به پذیرش یک فروشنده جدید دارد.
- مدیر شخص ثالث: فرد یا تیمی که فروشندگان را بررسی میکند و مسئول دور نگه داشتن حداکثری ریسک از سازمان است.
- نماینده شخص ثالث: نماینده(های) فروشنده که به درخواستهای ارزیابی اولیه و سنجش در طول فرآیند پاسخ میدهد.
جزئیات فرآیند بسته به اندازه شرکت، بلوغ برنامه، صنعت و موارد دیگر متفاوت خواهد بود. هیچ رویکرد یکسانی وجود ندارد و تیمهای TPRM باید این مدلها را برای تناسب با نیازهای تجاری خاص خود تطبیق دهند.
نظارت مستمر: ارزیابی دورهای
پس از امضای قرارداد، فرآیند ارزیابی اولیه به صورت دورهای تکرار میشود تا اطمینان حاصل شود که فروشنده همچنان در سطوح ریسک قابل قبول فعالیت میکند. فاصله زمانی بین ارزیابیها بسته به نوع کسبوکار، پروفایل ریسک و میزان پرخطر بودن فروشندگان، برای اشخاص ثالث مختلف بسیار متفاوت است.
بهترین شیوههای ریسک ذاتی
تعیین سطح ریسک ذاتی یک فروشنده، گامی حیاتی در مشخص کردن میزان ارزیابی اولیه مورد نیاز در هنگام پذیرش و همچنین تناوب ارزیابیهای دورهای برای نظارت مستمر است. فروشندگان پرریسکتر باید توجه بیشتری دریافت کنند و محاسبات ریسک ذاتی مشخص میکند که چه کسانی شایسته این توجه اضافی هستند. برای کسب اطلاعات بیشتر درباره چارچوبهای حاکمیتی میتوانید به منابع معتبری مانند چارچوب COBIT از ISACA مراجعه کنید.
حوزههای ریسک به تعریف سوالات ریسک ذاتی کمک میکنند
معمولاً ریسک ذاتی از طریق ارتباط بین کاربر واحد تجاری درخواستکننده خدمات فروشنده و مدیر شخص ثالث تعیین میشود. نه حوزه ریسک وجود دارد که تیمهای TPRM میتوانند برای تعیین ترکیب مناسبی از سوالات ریسک ذاتی برای شرکت خود به آنها نگاه کنند:
- هویت: آیا این فروشنده همان کسی است که ادعا میکند؟
- امنیت اطلاعات: آیا فروشنده با اطلاعات/دادههای حساس سروکار دارد؟
- جغرافیا: فروشنده در کجا واقع شده است؟ آیا موقعیت مکانی آن میتواند منجر به اختلال در زنجیره تأمین شود؟
- مالی: آیا فروشنده صورتحسابهای خود را پرداخت میکند؟
- تداوم کسبوکار: آیا فروشنده برنامهای برای مواقع بحرانی دارد؟
- شخص چهارم: آیا فروشنده با اشخاص چهارم کار میکند؟
- اعتبار: آیا اخبار منفی در مورد فروشنده وجود دارد که به اعتبار برند آسیب برساند؟
- انطباق: آیا فروشنده با قوانین و مقررات مطابقت دارد؟
- تعارض منافع: آیا تعارض منافع شخصی با کارکنان فروشنده وجود دارد؟
بر اساس نوع کسبوکار، سازمانها باید مجموعهای از سوالات را با استفاده از این حوزههای ریسک تدوین کنند که در نهایت به محاسبه سطح ریسک فروشندگان کمک کند.
سیستم امتیازدهی خود را بسازید
پس از تعیین سیستم طبقهبندی ریسک (ما از کم، متوسط، زیاد و بحرانی استفاده میکنیم)، باید برای تخصیص امتیاز به سوالات حوزههای ریسک کار شود تا فروشندگان بتوانند امتیازدهی شده و در طبقههای ریسک مناسب قرار گیرند. برای مثال، پاسخ مثبت به سوال “آیا این سرویس برای عملیات شرکت ضروری است؟” میتواند به طور خودکار فروشنده را در طبقه بحرانی قرار دهد. ترکیبی از پاسخها به چندین سوال دیگر نیز میتواند منجر به همین طبقهبندی شود.
منبع مقاله: ProcessUnity – THIRD-PARTY RISK MANAGEMENT BEST PRACTICES
