Trečiųjų šalių rizikos valdymas ir Vidaus auditas

Organizacijos vis dažniau naudojasi trečiųjų šalių paslaugomis, o tai reiškia ir didesnes su jomis susijusias rizikas.

Kai organizacija priklauso nuo trečiųjų šalių, reikalingas tinkamas požiūris į jų rizikos valdymą (Third-Party Risk Management; TPRM). TPRM programos padeda valdyti rizikas, kurios kyla ar gali kilti dėl santykių su trečiosiomis šalimis, įskaitant prekės ženklo ir reputacijos rizikas dėl duomenų nutekėjimo, klientų aptarnavimo, tiekimo grandinės sutrikimo ar finansinio sukčiavimo. Kai paslaugų teikėjas pasitelkia subrangovus (ketvirtąsias šalis) papildomoms paslaugoms ar palaikymui, organizacija turi atsižvelgti ir įvertinti ketvirtosios šalies (subrangovo dirbančio organizacijos trečiajai šaliai) keliamas rizikas.

Trečiųjų šalių rizikų realijos svarbios valdybos (aukščiausio valdymo organo) lygmenyje. Valdybos atliekama rizikos valdymo priežiūra (oversight) yra itin svarbi siekiant užtikrinti visapusišką rizikos profilio aprėptį. Tai gali būti ypač aktualu organizacijoms, kuriose rizikos gali būti didesnės dėl mažesnės reguliacinės priežiūros. Plačiai žinomi tiek vietiniai, tiek tarptautiniai pastarųjų metų duomenų nutekėjimo atvejai, susiję su trečiosiomis šalimis, dar labiau išryškina poreikį stipresnei, nuolat peržiūrimai ir tobulintinai TPRM programos valdysenai.

Vidaus auditas (VA) gali padėti reaguoti ir netiesiogiai prisidėti valdant šią rizikos aplinką.

TPRM Tendencijos

Pradedant ar tobulinant TPRM programą, verta atsižvelgti į rinkos tendencijas. Tarp šiuo metu matomų tendencijų galima išskirti šias:

• Spartus trečiųjų šalių paslaugų augimas: Organizacijoms tampant vis labiau priklausomoms nuo technologijų, jos plečia trečiųjų šalių naudojimą, ypač IT srityje. Programinė įranga ir sistemos vis dažniau veikia debesijoje (perkeliama į debesiją) bei yra prižiūrimos arba teikiamos trečiųjų šalių. Organizacijose lieka vis mažiau paslaugų (skirtų tiek išorės vartotojams (klientams) tiek vidaus vartotojams (darbuotojams)), kurios yra teikiamos pačios organizacijos (on-premise) ar esančių jų pačių infrastruktūroje.
• Kylantis pavojus dėl trečiųjų šalių duomenų pažeidimų: Nebepakanka rūpintis tik tuo, kas vyksta organizacijos „tinklo ribose”. Būtina įvertinti trečiųjų šalių keliamas rizikas, susijusias su kibernetiniu saugumu, duomenų apsauga bei kitais organizacijai svarbiais aspektais. Būtina nuolat stebėti ir turėti aiškius procesus bei kontrolės mechanizmus, padedančius tinkamai valdyti riziką ir reaguoti į incidentus, o įvykus pažeidimams trečiojoje šalyje - įvertinti jų kritiškumą ir galimą poveikį organizacijai ar jos klientams.
• Perėjimas nuo izoliuoto prie integruoto rizikos valdymo: Organizacijose, kurios vertina riziką visos organizacijos mastu (taiko visos organizacijos požiūrį į riziką), rizikos valdymo atsakomybė nebėra izoliuota/atskirta. Tai leidžia visiems departamentams (organizacijos vienetams) dirbti pagal bendrą ir vieningą sistemą.
• Atitiktis privatumo ir duomenų saugos teisės aktams: Reguliacinės aplinkos pokyčiai lemia, jog organizacijos turi užtikrinti savo pačių atitiktį ir įtraukti trečiųjų šalių partnerių veiklos vertinimą į bendrą atitikties procesą.
• Auganti ESG (aplinkosaugos, socialinės atsakomybės ir valdysenos) komunikacija: ESG tematika tampa vis reikšmingesnė nefinansinėse ataskaitose ir organizacijų viešojoje komunikacijoje. Organizacijos atsiskaito ne tik už savo veiklą, bet ir už partnerių rezultatus/pasiekimus.
• Automatizuotas TPRM: TPRM automatizavimas tampa esminis, siekiant riboti laiką, skiriamą administracinėms ir pasikartojančioms užduotims, kad dėmesys būtų sutelktas į vertės didinimą.

Vidaus audito (VA) vaidmuo vertinant TPRM pasirengimą 

VA gali padėti organizacijai atlikti TPRM pasirengimo vertinimą, kuris dažniausiai apima tris etapus:

1. Planavimas ir inicijavimas: VA gali padėti įvertinti TPRM programos veiksmingumą, parinkdamas vertinimo sistemą, kuri suteiktų išsamų TPRM programos gyvavimo ciklo vaizdą ir atitiktų aiškiai apibrėžtą vertinimo apimtį. 
2. TPRM programos vertinimas: VA gali atlikti valdysenos ir operacinio modelio vertinimą, apimantį TPRM programos gyvavimo ciklą, vertinti kontrolės mechanizmus, nustatyti procesų trūkumus ir tobulinimo galimybes.
3. Raportavimas: VA gali padėti nustatyti korekcinių veiksmų prioritetus kartu su pagrindiniais suinteresuotais asmenimis, skirtą parengti išsamų programos vertinimą ir paruošti vadovams bei aukščiausio lygio vadovybei skirtą ataskaitą.

VA gali padėti įvertinti ir suprasti tikrąjį pasirengimo lygį bei atlikti brandos vertinimą, taikydamas rodiklius programos brandos lygiui nustatyti, ir pateikti tinkamas rekomendacijas, kartu su prioritetais, skirtas TPRM programos valdysenos stiprinimui. 

VA ir TPRM sistemos vertinimas

Organizacijos TPRM programos valdymui dažniausiai taiko vieną iš trijų modelių: centralizuotą, mišrų (hibridinis/pasidalytos atsakomybės modelis) ir decentralizuotą.

Centralizuotame modelyje viena komanda (dažniausiai Rizikos valdymo arba Atitikties) valdo visas su trečiųjų šalių rizika susijusias veiklas visoje organizacijoje.

Mišriame (pasidalytos atsakomybės) modelyje centrinė (dažniausiai Rizikos Valdymo arba Atitikties) komanda nustato standartus ir suteikia įrankius, o verslo padaliniai vykdo vertinimus.

Decentralizuotame modelyje kiekvienas verslo padalinys savarankiškai valdo trečiųjų šalių riziką.

VA komanda gali padėti nustatyti (patarti), kuris modelis geriausiai tinka organizacijai ir jos struktūrai, kadangi kiekvienas turi savų privalumų ir iššūkių, kuriuos reikia įvertinti.

Vidaus auditoriai būdami nepriklausomi ir objektyvūs ne tik identifikuoja trūkumus esamoje sistemoje bet gali veikti ir kaip patarėjai. VA rizikos požiūriu grįsta analizė leidžia įvertinti esamo trečiųjų šalių rizikos valdymo proceso brandos lygį (kiek brandus yra organizacijos trečiųjų šalių rizikos valdymo procesas) ir rekomenduoti reikiamus ir tinkamus valdymo modelio bei veiklos sistemos pokyčius. VA patirtis gali padėti ir leidžia nustatyti tinkamas kontrolės priemones ir suformuoti tinkamus klausimus, kad organizacija gautų visą informaciją, reikalingą trečiųjų šalių atrankai, stebėsenai ir valdymui.

Pavyzdžiui, jei trečioji šalis turi prieigą prie organizacijos duomenų, organizacijai naudinga žinoti:

• Ar yra nustatyta duomenų klasifikavimo politika? Ar joje aiškiai apibrėžta, kaip turi būti apsaugotos tam tikros duomenų kategorijos?
• Ar trečioji šalis turi privilegijuotą prieigą (ang. privileged access) ar laikiną arba ribotą privilegijuotų teisių padidinimą (ang. elevated privileges)? Jei taip, ar yra registruojami ir peržiūrimi veiksmai?
• Ar trečioji šalis nuolatos turi visišką, neribotą prieigą (ang. carte blanche access), ar naudojasi ribotu portalu ar kanalu (ang. limited portal or channel)?
• Ar trečiosios šalies veikla yra stebima pačios organizacijos?

VA gali padėti išgryninti svarbiausius klausimus kiekviename TPRM programos etape. Pavyzdžiui, derybų ir sutarčių sudarymo metu VA gali užtikrinti, kad būtų nepamiršta įtraukti „teisės audituoti” nuostata, leidžianti organizacijai prireikus atlikti patikrinimą. Taip pat verta įvertint ar ir kaip trečioji šalis galės ateityje plėstis ir augti kartu su organizacija (pvz., strateginis, pajėgumų, inovacijų ir prisitaikymo, atitikties, rizikos valdymo suderinamumas).

VA galimas vaidmuo kiekviename TPRM programos gyvavimo ciklo etape

TPRM programos gyvavimo ciklo dizainas turėtų prisidėti prie maksimaliai veiksmingo verslo tikslų pasiekimo, kartu valdant ir mažinant rizikas, kylančias iš santykių su išorės šalimis. Programos tikslai turėtų didinti ir aiškiai apibrėžti atsakomybes ir vaidmenis; užtikrinti santykių su šiomis šalimis koordinavimą; padėti suprasti rizikas ir gerinti rizikos aplinkos supratimą; įgyvendinti standartizuotą rizikos klasifikavimą bei vertinimą. Programos gyvavimo ciklas gali būti suskirstytas į penkias fazes, o VA gali turėti vaidmenį kiekvienoje iš jų:

1. Planavimas, dizainas ir dokumentuotas TPRM: VA gali vertinti organizacijos trečiųjų šalių valdymo ar funkcijų perdavimo trečiosioms šalims (outsourcing) politiką, strategiją, rizikos vertinimą ir valdymą, atsakomybių paskirstymą ir atskyrimą ir interesų konfliktų valdymą, organizacijos valdymo organų, aukščiausios vadovybės ir kitų atsakomybę, kritinių trečiųjų šalių paslaugų teikėjų vertinimą ir nustatymą, bei trečiųjų šalių ir trečiosioms šalis perduotų paslaugų (outsourcing) registrų valdymą.
2. Atranka ir pasirinkimas: VA gali vertinti trečiųjų šalių atrankos procesą, jo taikymą bei nuoseklumą; gali vertinti trečiosios šalies rizikos, įskaitant potencialių konfliktų ar subrangovų įsitraukimo, vertinimo procesą, jo taikymą bei nuoseklumą, ir, kai aktualu, rizikos prisiėmimą bei išimčių taikymą. Išimčių taikymas turėtų priklausyti nuo trečiosios šalies ar tiekėjo įvertinto rizikos lygio, turi būti gauti reikalingi atsakingų asmenų patvirtinimai ir numatytos kompensuojančios kontrolės priemones.
3. Sutarčių ir sąlygų derinimas and sutartinės nuostatos: VA gali įvertinti kriterijus prieš pradedant sutarties derinimą, siekiant nustatyti ar jie buvo tinkami ir vienodai taikyti visiems konkurso (trečiųjų šalių atrankos) dalyviams. Dalykiniai santykiai (sutarties pasirašymas) su trečiąja šalimi turėtų būti sudaryti tik tada, kai įsitikinama, jog sutartiniai reikalavimai atitinka organizacijos nustatytus kriterijus, o išimčių taikymo atveju – kai užtikrinamos savalaikės kompensuojančios kontrolės priemonės.

   VA taip pat gali vertinti ar yra įtraukiami tam tikri sutartiniai susitarimai, kaip, pavyzdžiui, teisę atlikti auditą, pasitraukimo planai ar funkcijos/paslaugos perdavimo schemos, saugumo reikalavimų ir priemonių  užtikrinimas, incidentų raportavimo nuostatos, subrangos (sub-outsourcing) susitarimai ir kiti paslaugų lygio susitarimai (ang. Service Level Agreement). 

   VA taip pat gali vertinti ar organizacija vertino trečiosios šalies finansinį stabilumą, sertifikatus, anksčiau atliktas užduotis. Kai kuriais atvejais prieš sudarant reikšmingą funkcijų/procesų perdavimo (outsourcing) susitarimą privaloma informuoti ir tam tikrais atvejais gauti priežiūros institucijos patvirtinimą – VA gali vertinti ar tai buvo atlikta.

4. Valdymas ir stebėsena: Po sutarties pasirašymo, VA gali vertinti trečiosioms šalims taikomus rizikos vertinimo bei periodiškumo metodus, nuolatinės stebėsenos kontrolės priemones ir veiklos rodiklius, ataskaitų teikimo tvarką bei pranešimų teikimą pagal poreikį ir kritiškumą. Šie aspektai turėtų būti grindžiami teikiamos paslaugos pobūdžiu, jos kritiškumu, bei rizikos lygiu, su kuriuo susiduria organizacija bendradarbiaudama su trečiąja šalimi. VA taip pat gali atlikti trečiųjų šalių auditą, kaip numatyta sudarytose sutartyse, siekiant įvertinti atitiktį sutartiniams susitarimams, arba, pavyzdžiui, įvertinti faktines išlaidas lyginant jas su sutartyse numatytomis sumomis.

5. Sutarties nutraukimas ar pasitraukimo strategija: VA gali įvertinti dalykinių santykių su trečiąją šalimi nutraukimo procesą ar pasitraukimo strategiją, siekiant įvertinti jo išsamumą, kontrolinės priemonių ir komunikacijos tinkamumą, įskaitant ar organizacija yra paruošusi planą B (kitą trečiosios šalies paslaugų teikėją arba, kaip alternatyvą, perėjimą prie vidinių sprendimų).

Trečiųjų šalių pasitelkimas dažnai padeda sumažinti kaštus, pagerinti efektyvumą, gauti ar praplėsti kompetencijas, padidinti pajėgumus ar gali pasiūlyti kitų privalumų, tačiau šie privalumai kartu atsineša rizikas, kurias būtina valdyti.

Priklausomai nuo organizacijos, VA vaidmuo gali neapsiriboti vien aukščiau aprašytais aspektais ir gali apimti kitas sritis ar veiklas.

Siekiant užtikrinti tinkamą trečiųjų šalių valdymą būtina turėti išsamiai ir tinkamai parengtą TPRM, kuri užtikrintų nuolatinę stebėseną ir veiksmingas kontrolės priemones. VA gali prisidėti padedant valdyti susijusias rizikas – nuo TPRM programos vadymo modelio vertinimo iki procesų, rizikų ir kontrolės priemonių vertinimo viso TPRM programos gyvavimo ciklo metu. Toks VA įsitraukimas gali atlikti svarbų vaidmenį valdant rizikas, kylančias iš santykių susijusių su trečiosiomis šalimis.

***********************************************************

Straipsnis parengtas pagal Grant Thornton USA įžvalgas.

Originalų straipsnį galite rasti čia: Internal audit empowers third-party risk management