Het belang van risicobeheer bij derden - sessie 1

Risico heeft een belangrijke impact op het succes van de uitbestede projecten van uw IT-afdeling of zelfs op de levensvatbaarheid van de hele organisatie. IT-serviceintegrators en derden zetten veel meer middelen in bij het uitvoeren van een gedegen due diligence van hun verplichtingen dan hun klanten. Als gevolg hiervan komen klanten vaak onvoorbereid aan de onderhandelingstafel, zich niet bewust van het feit dat de leverancier een sterke focus op contingentie heeft in hun onderhandelingen.


(Door Jan Vanderstraeten)

In de komende 2 weken zullen we blogs plaatsen over het belang van Derdenrisicobeheer. In een extra blogpost zullen we het volledige artikel publiceren.

Na het lezen van deze blogs zal je begrijpen waarom het nodig is om realtime onderzoek te doen naar je risico's en zal je in staat zijn om een risicodashboard te maken dat de potentiële risico's rapporteert die kunnen ontstaan binnen de digitale transformatie van je organisatie.

 

1. Introductie 

De huidige economische omstandigheden dwingen klanten om kostenbesparingen en efficiëntiewinst te maximaliseren door te kiezen voor slanke productie en offshoring. De prijs die organisaties betalen voor deze verlaging van de kosten is de toenemende risicoprofiel van de organisatie en de grotere afhankelijkheid van leveranciers.

Een wereldwijde recessie vergroot de risico's op instabiliteit in verschillende bestemmingsgebieden, waardoor klanten vaardiger moeten worden in het verplaatsen van werkvolumes van de ene plek naar de andere.

Het uitbreiden van het bedrijf door het gebruik van derden heeft bedrijven in staat gesteld zich te concentreren op kerncompetenties, groei en digitale innovatie na te streven, de time-to-market te verbeteren, de digitale klantervaring te verbeteren en hun technologische kosten te verlagen. Hoewel het gebruik van derden veel voordelen biedt, brengt het ook extra risico’s met zich mee. IT-outsourcing wordt vaak geassocieerd met vermindering of zelfs verlies van controle over de dienstverlening. Door derden in te schakelen ter ondersteuning van de organisatie bij kritieke processen, ontstaan verschillende soorten risico’s waaraan de organisatie mogelijk eerder niet is blootgesteld, zoals concentratierisico, locatie-risico of juridisch/ rechtsgebiedrisico.

Wanneer er tegenwoordig problemen ontstaan, is de kans veel groter dat ze snel uit de hand lopen. Als uw organisatie ontdekt dat er dwangarbeid wordt gebruikt in de uitgebreide toeleveringsketen van een bedrijf, kan de schade aan het merk van het bedrijf zich via social media verspreiden voordat het bedrijf het verband met de leverancier kan verifiëren. Een formele risicobeoordeling die op gegevens is gebaseerd om de kans, impact en snelheid van risico's te overwegen, kan een meer betekenisvolle set prioriteiten opleveren dan een beoordeling die zich uitsluitend richt op de kans en impact van risico's.

Sterk risicobeheer binnen de uitgebreide onderneming kan het beste worden bereikt door functies voor risicobeheer van derden (TPRM) stevig te integreren in de kern van het bedrijf en de bedrijfsvoering. Organisaties die TPRM goed uitvoeren, zouden baat moeten hebben bij het verminderen van risico's en het vergroten van wendbaarheid en veerkracht, waardoor ze groei kunnen nastreven en tegelijkertijd kwetsbare punten kunnen verkleinen.

Maar hoe wordt risico gedefinieerd? Welke onverwachte gebeurtenissen brengen IT-projecten in gevaar? Je zult ze ontdekken door de volgende hoofdstukken verder te lezen.

 

2. Hoe definiëren we risico?

Risico's kunnen worden gedefinieerd als onzekere gebeurtenissen die invloed hebben op de uitvoering van het contract of zelfs op de strategische doelstellingen van het bedrijf.

Risico's kunnen voortkomen uit externe factoren zoals economische veranderingen of variaties in juridische kaders en beleidsmaatregelen (bijv. Brexit).

Compliance-risico's hebben betrekking op naleving van wetten en regelgeving, governance-codes, vrijwillige certificeringen en de kaders en afspraken die intern binnen de organisatie zijn gemaakt. De gevolgen van niet-naleving nemen toe, zowel in financiële impact als in impact op de reputatie van organisaties.

 

3. Risicoberekening

De geschatte waarde van een risico hangt af van twee hoofd factoren: (1) Impact en (2) Waarschijnlijkheid. Beide factoren zijn belangrijk om de prioritering van het risico te bepalen. Wat is de kans dat een risico zich voordoet? Bijna zeker? Of is de kans dat het risico zich voordoet eerder laag? En als het risico zich voordoet, wat is dan de impact voor de organisatie?

De meting van risico wordt als volgt berekend: Risico = Kans x Impact.

Maak een op maat gemaakte kostenraming van de verschillende risico's om tot een oproep tot actie te komen.

 

4. Impact

Impact kan worden gedefinieerd als een duidelijke invloed of effect nadat het onzekere evenement heeft plaatsgevonden.

Het effect van een risico is moeilijk te meten. Sommige van deze risico's veroorzaken een wirwar van directe en indirecte kosten, waarbij sommige zich onmiddellijk voordoen na het evenement en andere jaren later.

 

We hebben de volgende categorieën van impact:

  • Ramp: Zeer ernstige impact op de organisatie als geheel. Klanten en/of investeerders hebben een negatieve kijk op de toekomst van de organisatie.
  • Hoog: Zeer belangrijke impact op sommige onderdelen van de organisatie. Bijvoorbeeld, hoog verlies aan inkomsten in een bepaald land.
  • Medium: Enige impact op sommige onderdelen van de organisatie. Er moet een mitigatieplan worden opgesteld.
  • Laag: De risico's kunnen gemakkelijk worden beperkt. Beperkte impact.

  • Kleiner: Verwaarloosbaar risico met nauwelijks effect.

     

5. Waarschijnlijkheid

Waarschijnlijkheid verwijst naar de mogelijkheid dat een risico zich voordoet, gemeten aan de hand van de volgende kwalitatieve waarden:

De volgende categorieën kunnen worden onderscheiden:

  • Bijna zeker (80-100%): Er is een kans dat dit risico binnen een jaar zal optreden of er is 80-100% kans dat het zal gebeuren.
  • Hoog (60-80%): Er is een kans dat dit risico zich binnen een periode van 3 jaar voordoet of er is 60-80% kans dat het zich zal voordoen.
  • Gemiddeld (40-60 %): Er is een waarschijnlijkheid dat dit risico zich binnen een periode van 5 jaar voordoet of een kans van 40-60 % dat het zal gebeuren.
  • Laag (20-40%): Er is een kans dat dit risico zich binnen een periode van 10 jaar voordoet of er is 20-40% kans dat het zich voordoet.
  • Verwaarloosbaar (0-20%): Er is een kans dat dit risico zich binnen een periode van 10 jaar niet voordoet, of er is 0-20% kans dat het zich voordoet.

U bent vrij om afwijkingen van de genoemde percentages te gebruiken in deze verschillende categorieën van waarschijnlijkheid. Er moet echter duidelijk worden gemaakt dat er een verschil bestaat tussen deze categorieën.

 

Voorbeelden van redenen om de waarschijnlijkheid te vergroten:

  • Gemiddeld aantal externe en/of onbeheersbare factoren
  • En/of middelmatige complexiteit van taken
  • En/of middelmatige diversiteit aan opvattingen van belanghebbenden
  • En/of middelmatige afhankelijkheid van meer dan 2 projecten
 
Figure 1: Risk Prioritization Matrix

Figuur 1: Risicoprioriteringsmatrix

Bron: Linda Tonkes, Gert-Jan Valsveld CATS CM versie 4 Succescontractmanagement, 4e editie, Van Haren Publishing, ’s-Hertogenbosch, 2020, “Risicomanagementmatrix”, p. 112

In hun versie van de Risk Prioritization Matrix gebruiken Linda Tonkes en Gert-Jan Valsveld slechts twee niveaus van impacternst en waarschijnlijkheid (Hoog-Laag). In hun versie van de Prioriteringsmatrix kunnen de impactcategorieën in dit rapport ‘Disaster’ en ‘High’ worden beschouwd als ‘Hoog’. De categorieën ‘Medium, Low en Miner’ (Impact) en ‘Medium, Low en Negligible’ (Kans) kunnen in hun model worden beschouwd als ‘Laag’ Impact/Kans.

6. Onbehandeld risico kan onvoorspelbaar zijn

Als een derde partij geen passend toezicht kan bieden op hun juiste waarborgen en controles, kan de Organisatie worden blootgesteld aan een hoger financieel, operationeel & contractueel, regelgevings- of reputatierisico.

Het meest recente en bekende voorbeeld was het COVID-19-vaccincontract dat de EU onderhandelde met een van de vaccinproducenten. De clausule 'ten beste inspanning' creëerde een hoger risico voor de EU om hun contractuele doel te bereiken, namelijk het vaccineren van de EU-bevolking in de kortst mogelijke tijd. Gebroken processen, het niet effectief handelen bij het ontstaan van problemen, en het niet monitoren van herstelactiviteiten kan kostbaarder zijn dan het risico van tevoren aan te pakken.

 

7. Wat zet uw organisatie op het spel?

De volgende risicofactoren kunnen een belangrijke invloed hebben op het succes van uw project of organisatie:

  • Strategisch risico: Risico van ongeschikte inkoopbeslissingen door de organisatie als gevolg van een gebrek aan afstemming van derden met de bedrijfsstrategie en doelstellingen van het bedrijf.
  • Contractueel risico: Het risico dat de organisatie producten en/of diensten niet ontvangt in overeenstemming met haar verwachtingen, vanwege onvolledige of onvoldoende contractuele bepalingen van derden, of door het onvermogen van een derde om aan de contractvoorwaarden te voldoen.
  • Risico van onderbreking van diensten/producten: Risico dat de activiteiten van de organisatie worden verstoord door de ineffectiviteit van het continuïteitsprogramma van een derde partij, of door het onvermogen van de derde partij om gedurende een langere periode diensten aan de organisatie te leveren. Risico wanneer een derde partij besluit te stoppen met de productie van een bepaald product of de levering van een bepaalde dienst.
  • Risico op reputatieschade: Risico op schade aan het merk van de organisatie als gevolg van het onvermogen van een derde partij om aan de verwachtingen en/of naleving van de organisatie te voldoen. Bijvoorbeeld, terwijl een bedrijf sterk kan inzetten op zijn duurzaamheidsreputatie, kan een groot incident van vervuiling door hun derde partij de publieke opinie over het merk van de organisatie schaden.
  • Financiële levensvatbaarheidsrisico: Risico op verstoring van de activiteiten van de organisatie doordat een derde partij niet langer in staat is producten/diensten te leveren omdat het geen winst kan genereren of het benodigde kapitaal niet kan behouden om haar lopende activiteiten te ondersteunen. Risicofactoren zoals de omvang van het derde partijbedrijf, groeipercentages, winstgevendheid, liquiditeit, kapitaalstructuur, toegang tot kapitaal, marktpositie, geografisch gebied en de kwaliteit van het management moeten in overweging worden genomen.
  • Kredietrisico: Het risico op financieel verlies voor de organisatie dat ontstaat wanneer kredietblootstelling wordt veroorzaakt door een derde partij die een garantie aan de onderneming houdt, regelt of uitgeeft; of het creëren van een verplichting voor de organisatie wanneer de derde partij niet adequaat wordt beheerd.
  • Compliance/juridisch risico: Het risico dat de organisatie niet voldoet aan wetten, ethische normen of haar eigen beleid/standaarden/procedures omdat een derde partij niet over adequate compliance-beheersmaatregelen beschikt voor zijn producten/diensten/middelen.
  • Informatiebeveiligingsrisico: Risico op ongepaste openbaarmaking, corruptie of vernietiging van de vertrouwelijke informatie van de organisatie als gevolg van het falen van een derde partij om passende beveiligings- en privacycontroles over de informatie van de instelling toe te passen.
  • Transactief/Operationeel Risico: Risico op een financieel verlies voor de organisatie en/of een negatieve impact op de levering van producten/diensten van de organisatie als gevolg van tekortkomingen in de interne processen/mensen/middelen van een derde partij en/of andere problemen met derden, bijvoorbeeld het ontbreken van gelijke voorwaarden en condities met de onderaannemer van de derde partij.

  • Geopolitiek risico: Risico op verstoring van de activiteiten van de organisatie als gevolg van economische, sociale en politieke omstandigheden en gebeurtenissen in een land die de activiteiten of levensvatbaarheid van een derde partij nadelig kunnen beïnvloeden.

     

Voorbeelden van regelgevende wetten:

  • Verenigd Koninkrijk Wet bescherming persoonsgegevens
  • EU Algemene verordening gegevensbescherming (AVG)
  • VS Internationale Safe Harbor Privacy-principes
  • Consumentenbeschermingsinstanties — digitale rechten
  • Gidsen: Europese Unie Agentschap voor Netwerk- en Informatieveiligheid (ENISA)
  • Industrie: Payment Card Industry (PCI) Security Standards Council richtlijnen

 

8. Risicobeperkingsplan

Hoewel risicofuncties potentiële risicocategorieën identificeren en prioriteren, hebben ze geen invloed op het daadwerkelijk optreden van het risico.

Dus je kunt jezelf afvragen: “Wat te doen als je leverancier failliet gaat? Welke acties moeten worden ondernomen wanneer het geïdentificeerde risico zich voordoet?”

Risicobeheersingsmaatregelen zijn verdeeld in twee groepen: preventieve en repressieve maatregelen. Binnen de preventieve maatregelen zijn er opnieuw twee mogelijkheden. De risicoleider kan manieren vinden om het risico te verminderen of zelfs te elimineren. Ten tweede kan de risicofunctie proberen de impact op de contractuele doelstellingen te beperken.

Repressieve risicobeheersmaatregelen worden uitgevoerd nadat het risico zich heeft voorgedaan en dan zijn alleen maatregelen mogelijk om de omvang van de impact te verminderen of de oorspronkelijke situatie volledig te herstellen. De wederopbouw van een afgebrand gebouw met behulp van de middelen van de verzekeringsmaatschappij is in feite een repressieve risicobeheersmaatregel.

De risicofunctie overlegt met de contracteigenaar over de risico's die de risicoleider heeft geïdentificeerd en de passende maatregelen die hij/zij zal implementeren, en hoe de communicatie met de derde partij over de risico's en de maatregelen zal plaatsvinden. Het besluit om een maatregel niet door te voeren is ook een optie. Dit hangt af van de risicobereidheid van de organisatie in het algemeen en de kosten-batenafweging. De contracteigenaar accepteert vervolgens het risico. Alle beslissingen worden vastgelegd ter goedkeuring. De contracteigenaar zal in goede samenwerking de risicofunctie ondersteunen bij de definitieve beslissing over de te nemen actie.

 

9. Wie vervult de rol van functie voor het beheer van risico's bij derden in uw organisatie?

Risicobeheer wordt vaak alleen gezien als de taak van auditors en juristen. Echter, tijdens vroege precontractuele besprekingen worden deze functies zelden uitgenodigd aan tafel met de derde partij. Daarom beperken we in dit rapport de rol van de risicofunctie niet alleen tot de compliance officers van uw organisatie. Wij vinden dat elke vertegenwoordiger van uw organisatie die aan tafel zit met een derde partij, vanaf het begin op de hoogte moet zijn van de potentiële risico’s van die derde partij.

De volgende rollen nemen vaak de taken van de risicofunctie op zich in een discussie met een derde partij:

  • Inkoop- & Leveranciersmanager (SVM)
  • Contractmanager
  • Juridisch Adviseur & Accountants
  • Servicemanager
  • IT-Architect
  • IT Business Partners
  • Business Managers
  • Externe Accountants

Nu je weet welke soorten onvoorziene omstandigheden je succes kunnen bedreigen en wie er risico-bewustzijn moet creëren, lees je verder in de volgende blogpost en ontdek je hoe je de TPRM-capaciteiten van je organisatie kunt verbeteren.

 

10. Verwijzingen in deze blogpost

Linda Tonkes, Gert-Jan Valsveld, CATS CM versie 4 Succescontractmanagement, 4e editie, ’s-Hertogenbosch, Van Haren Publishing, 2020

Gerco Rietveld, Inkoop een nieuw paradigma, 3e editie, Den Haag, SDU uitgevers, 2010

Walter Hoogmoed, Edward Appert, Deloitte: Het beheren van risico's bij derden in de financiële dienstverlening - Belangrijke overwegingen voor de uitgebreide onderneming, 2014

Wil je de controle over je risico's bij derden nemen?

Praat met onze experten

Contacteer ons
1