Het belang van risicobeheer bij derden - sessie 2

1. Hoe kunt u uw TPRM-mogelijkheden verbeteren?

1.1.  Visie en routekaart

Risicofuncties vergroten hun digitale fitheid wanneer zij de digitale strategie van de organisatie begrijpen en ze ervoor kunnen zorgen dat ze strategisch advies en zekerheid bieden over de nieuwe en veranderende risico's die de digitale transformatie van de organisatie met zich meebrengt. Ze zouden de digitale visie van de functie tot leven moeten brengen door specifieke gewenste resultaten voor hun digitale investeringen vast te stellen en prestatie-indicatoren voor verandering te wijzigen om gewenst gedrag te versterken. Het stellen en meten van gewenste uitkomsten zijn de meest invloedrijke factoren in het vermogen van risicofuncties om de digitale plannen vooruit te helpen.

1.2.  Begrijp uw landschap van externe partijen en het risiconiveau

De risicofunctie moet een inventaris opstellen van actieve derde partijen en de bijbehorende samenwerkingen, een inherente risicoanalyse van elk uitvoeren (inclusief hoe belangrijk elke samenwerking is voor de bedrijfsvoering/waardeketen) en de geaggregeerde risicopositie van de organisatie voor een bepaalde partij beoordelen (zie ook sectie CRP). Begrijp hoe derde partijen in uw organisatie worden gebruikt en welk risico zij vertegenwoordigen.

1.3.  Stuur aandacht voor risicobeheer

Het management moet processen identificeren die cruciaal zijn voor de waardeketen van de organisatie, en vervolgens de investeringen en middelen voor risicobeheer richten op de derde partijen die deze processen ondersteunen.

1.4.  Betrek de raad van bestuur en het senior management bij de meest kritieke en hoogst risicovolle relaties

Het senior management moet besluiten over de risicobereidheid van de organisatie en bepalen wat wel of niet kan worden uitbesteed. Relaties met derden moeten worden geïdentificeerd, gevalideerd en de raad van bestuur moet in staat zijn toezicht te houden op de derden die de meest kritieke processen ondersteunen.

Het senior management moet hun algemene risicotolerantie voor derden opnieuw beoordelen. De risicofuncties moeten proactiever en real-time inzichten bieden om beslissingen te ondersteunen die kansen tegen risico afwegen, met behulp van data, het creëren van analytische modellen of dashboards in een audit.

Het is een kans voor risicofuncties om samen te werken met het hogere management, het bewustzijn van de risicotolerantie te vergroten en risico's op betere en efficiëntere manieren te monitoren.

Om de meest relevante en meest actuele informatie en inzichten te bieden, zodat de organisatie in real time op risico's kan reageren, worden datalakes (1) gebruikt. Het vermogen om datapunten te correleren over bestaande en nieuwe databronnen zal leiden tot grotere samenwerking over de lijnen van verdediging en een dynamischere identificatie, monitoring en toetsing van risico's. Door gestructureerde en ongestructureerde gegevens uit zowel interne als externe bronnen in een datalake te brengen, kunnen risicofuncties strategische risico's beter voorspellen, identificeren en aanpakken. De correlaties tussen gegevens ondersteunen de risicofunctie bij een beter begrip van risico's en bij een snelle reactie op veranderingen in het risicoprofiel van de organisatie.

Belangrijke opmerking: De businesscaseberekening van sourcing-initiatieven en toekomstige projecten wordt vaak te positief gepresenteerd omdat de meeste risicobeoordelingen risico's kenmerken als lineair gedrag: wanneer risico A zich voordoet, heeft dit B als gevolg. In de meeste gevallen veroorzaakt risico A echter een reeks effecten op verschillende tijdstippen. Systeemdynamica (figuur 1) kan een effectieve methode zijn voor risicoanalyse. Met deze methode is het mogelijk oorzaak en gevolg te kwantificeren en wordt rekening gehouden met de tijdsdimensie.

(1) Stel strategische risicogegevensplatforms op - inclusief interne en externe gegevens - om functies in staat te stellen een breder beeld van risico's te krijgen en samenwerking te bevorderen over hoe risico's gedurende de hele levenscyclus te beheren en te monitoren.

1.5.  Verantwoordingsplicht in de business line en daarbuiten verankeren

Verantwoordelijkheid voor het beheren van risico's van derden moet verankerd worden in de managementprocessen.

1.6.  Mogelijk maken van end-to-end risicobeheer door middel van procedures en technologische ondersteuning

Risicobeoordeling moet worden uitgevoerd gedurende de volledige levenscyclus van de relatie met derden, inclusief de beoordeling vóór het contract en het voortdurende toezicht tijdens de uitvoering van het contract.

1.7.  Verwerk duurzaamheid en voortdurende verbetering in je capaciteiten

Evalueer routinematig de effectiviteit van uw TPRM-programma's en -controles, inclusief rigoureuze gebeurtenisanalyse, kwaliteitsborging en onafhankelijke beoordelingen.

1.8.  Vind de juiste match voor opkomende technologieën in TPRM

Cloudtechnologieën, Kunstmatige Intelligentie, Internet of Things, Robotic Process Automation, analytische mogelijkheden, blockchain - ze komen allemaal tegelijkertijd in actie om de productiviteit en kwaliteit van hun operaties te verbeteren. Risicofuncties beginnen bots te gebruiken voor rapportage en introduceren bots voor taken zoals het rapporteren van statistieken en het uitvoeren van kwartaalbeoordelingen van de kwaliteit. Hoeveel u verandering omarmt, is een belangrijke succesfactor in de holistische digitale transformatie.

1.9.  Zorg ervoor dat uw contract risico's beperkt en voldoet aan de wettelijke vereisten

Inkoopteams ontdekken soms tot hun spijt dat ze niet de bescherming hebben waarvan ze dachten dat ze die hadden — en vaak komt dit nieuws op het slechtst mogelijke moment.

Risico's zijn bedreigingen voor het succes van een contract. Elk onverwacht voorval dat de uitvoering kan beïnvloeden om de contractuele doelstellingen te behalen, moet als een risico worden gemeld.

1.9.1.  Het Contractrisicoprofiel (CRP)

Het CRP is een inventarisatie van risico's die worden beschouwd als een bedreiging voor de contractuele doelstellingen. Op basis van zijn eigen ervaring zal de risicofunctie de ernst van elk risico valideren en ze beoordelen met een score van 1 tot 5. Waarbij score 1 staat voor zeer laag risico en score 5 wordt beschouwd als een onaanvaardbaar risico.

1.9.2.  CRP-risicocategorieën

De volgende risicocategorieën moeten worden beoordeeld in de CRP:

Beschikbaarheid: Zijn de contractdoelstellingen bekend en duidelijk voor beide partijen? Zijn er verborgen of ongeschreven doelstellingen binnen uw eigen organisatie? Bestaat het vermoeden van verborgen doelstellingen bij de tegenpartij?

Haalbaarheid: Zijn de contactdoelstellingen realistisch?

Voldoende specifiek: Zijn de contractdoelstellingen voldoende specifiek zodat de risicofunctie ze kan beheren?

Overeenkomst tussen levering en doelstelling: Zijn de te leveren producten zoals beschreven in het contract in overeenstemming met de algemene contractdoelstellingen?

1.9.3. Contractkenmerken

Dit zijn de kenmerken van het contract die door de risicofunctie worden gevalideerd:

Soort werk versus type contract: Verschillende soorten werk leiden tot verschillende complexiteit van uitvoering en prestaties. Is er een overeenstemming tussen het gekozen contracttype, het soort werk en de gewenste samenwerking met de derde partij?

Politieke gevoeligheid: Wordt de opdracht kritisch gevolgd door het publiek en/of de media? Als het contract door het publiek wordt bekeken, worden fouten of mislukkingen uitvergroot en kunnen beide partijen imagoschade oplopen.

Levertijd: Het vervullen van de behoefte en de verplichting tot levering zijn tijdgebonden. Het gevraagde product of de gevraagde prestatie moet beschikbaar zijn vanaf of op een specifiek tijdstip en de leverancier kan een toezegging doen om te leveren zolang de voorraad strekt of zolang de middelen beschikbaar blijven. De overeengekomen contractduur, de verwachte duur van de vraag en de beschikbaarheid van middelen moeten op elkaar afgestemd zijn. De contractduur in relatie tot het type contract is ook een bron van risico waarvan een betrouwbare schatting moet worden gemaakt. Korte detacheringsovereenkomsten bevatten over het algemeen weinig risico. Echter, langdurige detacheringsovereenkomsten worden in de loop der tijd risicovoller wanneer, in de perceptie van de opdrachtgever, de verplichting om resultaten te behalen groter wordt. Voor langlopende overeenkomsten tegen vaste prijs/mijlpalen is een zeer strikte opvolging van de contractuele verplichtingen vereist.

Locatie van uitvoering: Werken op meerdere locaties brengt onvermijdelijk een risico met zich mee op het gebied van communicatie, culturele verschillen, extra reistijd en kosten, en naast deze risico's mogen nationale feestdagen niet worden verwaarloosd.

Totale contractwaarde: Contracten met een hogere waarde brengen een groter financieel risico met zich mee.

1.9.4.  Beschikbaar personeel

In serviceovereenkomsten kunnen medewerkers van beide partijen een risicofactor zijn, die beoordeeld moet worden:

Beschikbaarheid van toegewezen personeel: Is het personeel van uw eigen organisatie beschikbaar en zijn de middelen die in het contract zijn genoemd beschikbaar? Zijn de middelen van derden beschikbaar en staan deze middelen in het contract vermeld?

Complexiteit versus ervaring bij levering: Heeft het personeel van de derde partij de nodige vaardigheden en ervaring met dezelfde complexe contracten die succesvol zijn geleverd?

Toewijzing van personeel: Welke profielen zijn er en wanneer worden deze profielen tijdens het contract toegewezen? Is de toewijzing van personeel transparant?

Subcontractors: Is the staff of the subcontractors available, when are they assigned and what kind of profiles are assigned?

1.9.5.  Neem deze standaardclausules op in uw contract

• Aansprakelijkheidsclausule: Beperkingen van aansprakelijkheid moeten worden afgewogen tegen eventuele nauwkeurig geverifieerde risicoblootstelling.
• Vrijwaring voor claims van derden: Alle kosten en verliezen veroorzaakt door inbreuk op intellectuele eigendomsrechten door de leveranciers moeten door de leverancier worden vergoed.
• Intellectuele eigendom & vertrouwelijkheidsclausules ter bescherming van de gevoelige bedrijfsinformatie van het bedrijf (IP, financiële informatie): Grote leveranciers weigeren vaak mee te werken aan veiligheidsbeoordelingen, omdat zij van mening zijn dat deze enquêtes te belastend zijn en dat het voor hen onmogelijk zou zijn om honderden verzoeken in te dienen. Bovendien zou het moeilijk zijn om de naleving van de beveiligingsvoorschriften door de leverancier bij te houden.
• Gegevensbescherming/Privacybescherming van de gevoelige bedrijfsinformatie van de organisatie (IP, persoonlijk identificeerbare informatie, financiële informatie): Grote leveranciers weigeren vaak mee te werken aan veiligheidsbeoordelingen, omdat zij van mening zijn dat deze onderzoeken te belastend zijn en dat het voor hen onmogelijk zou zijn om honderden verzoeken in te dienen. Bovendien zou het moeilijk zijn om de naleving van de leverancier aan de veiligheidsvoorschriften bij te houden.
• Integriteit: Volwassen Inkoop- en Leveranciersbeheerteams nemen integriteitsclausules op in hun contracten. Bijvoorbeeld, in geval van fraude mag de klant het contract zonder extra kosten beëindigen.

1.9.6.  Wijziging van gebruikelijke clausules

Pas veelvoorkomende clausules zoals overmacht aan om ook andere bedreigingen te omvatten. Deze contractuele bepaling ontheft gewoonlijk beide partijen van aansprakelijkheid wanneer een gebeurtenis plaatsvindt die buiten de controle van beide partijen ligt, zoals een pandemie. Bij het opstellen van dergelijke beschermingen moeten organisaties echter voorzichtig zijn om een gebrek aan verantwoorde voorzorg niet door de vingers te zien.

• Breid de criteria voor beëindiging om gegronde redenen uit. Contractmanagers moeten beëindigingsbepalingen opnemen die een vroege, snelle reactie op veranderende leverancieromstandigheden mogelijk maken, gekoppeld aan zichtbare triggers zoals een plotselinge verlaging van de kredietbeoordeling van een leverancier, erkenning van fraude of misleidende financiële overzichten.
• Stel duidelijk eigenaarschap van activa en documentatie vast. Besteed meer tijd aan het definiëren en opeisen van intellectueel eigendom in contracten.

Voeg clausules en voorwaarden toe die ingaan op opkomende zorgen:

• Vereisten voor overgang. Inkoopteams zouden meer proactief moeten worden in het veiligstellen van overgangsverlening in een contract, met voldoende bespreking van tijdschema's en betalingsvoorwaarden. Houd er rekening mee dat de vereiste van toepassing moet zijn, of de organisatie het werk nu intern terughaalt of aan een andere aanbieder overdraagt. Een duidelijk gespecificeerde verdeling van verantwoordelijkheden is een ander belangrijk aspect bij het plannen van overgangsvereisten.
• Auditbepalingen indien vereist. Het aanvragen van aanvullende audits om de naleving van specifieke brancheregels, dienstverlening, prijzen of zelfs de financiële situatie van een leverancier te controleren, is een steeds vaker voorkomend antwoord van uitbestedingsklanten. Auditbepalingen moeten voorzichtig worden gebruikt, omdat ze meestal gezamenlijk gefinancierd worden door de klant en derden en normaal gesproken slechts sporadisch nodig zijn in de loop van een uitbestedingscontract.
• Duidelijke verantwoordelijkheid voor beëindigingskosten. Outsourcingcontracten zijn de afgelopen jaren minder kapitaalintensief geworden, waardoor beëindigingsprocedures eenvoudiger zijn. Leveranciers zijn echter minder enthousiast over het financieren van apparatuurkosten en 'doorbelaste' uitgaven gezien de huidige kredietcrisis, dus het minimaliseren van deze aspecten kan de overgang vereenvoudigen en minder conflictueus maken.

Aangezien veel van de nieuwe scenario's en onverwachte gebeurtenissen in contracten extra juridisch risico en complexiteit met zich meebrengen, moeten inkoopteams ervoor zorgen dat hun juridisch adviseur contracten met bijzondere zorg beoordeelt.

2.  Belangenhebbendenbeheer

Engageren de risicofuncties zich effectief met bedrijfsleiders en bestuursleden over de digitale initiatieven van hun organisaties? Zelfs met nieuwe digitale hulpmiddelen en capaciteiten moeten risicofuncties actief betrokken zijn en communiceren met besluitvormers om gedurende de uitrol van digitale initiatieven bij te dragen. Actieve betrokkenheid helpt risicofuncties ook om tijdiger inzicht te krijgen in organisatorische risico’s, zodat middelen en inspanningen beter kunnen worden afgestemd. Ze moeten continu in contact staan met hun belanghebbenden over de risico’s die voortvloeien uit technologische innovaties. Betrokkenheid tijdens het hele innovatietraject door het aanbevelen van controles, het beoordelen van risico’s en het bespreken van beleid is essentieel. De risicofuncties moeten een geconsolideerd en gemakkelijk te begrijpen overzicht van risico’s presenteren met behulp van digitale dashboards. En ze moeten op het juiste moment hun mening geven, zodat leiders beter geïnformeerde beslissingen kunnen nemen.

3. Middelenbeheer

Hebben uw risicofuncties de juiste vaardigheden en samenwerkingsmiddelen om op een agile manier te werken over de verdedigingslinies heen? Risicofuncties hebben de kennis en vaardigheden nodig om advies te geven over risico’s, zowel vanuit een zakelijk als een (opkomende) technologische invalshoek. De risicoanalyses worden meer datagedreven, zodat ze strategische inzichten kunnen bieden in het tempo en de schaal van de digitale transformatie van de organisatie. Het vergt een voortdurende investering om de vaardigheden up-to-date te houden naarmate de technologie zich ontwikkelt en om digitale middelen tevreden te houden.

De volgende vaardigheden kunnen als cruciaal worden beschouwd:

• Kritisch denken
• Data-analyse
• Technologie
• Cyber- en privacy
• Projectmanagement, samenwerking en verandermanagement
• Storytelling
• Inzicht in governance, risico en naleving (GRC)

4. Conclusie

Werk samen en stem af om een geconsolideerd overzicht van risico's te bieden. Nu is het moment voor risicofuncties om in harmonie te werken om de Organisatie door haar digitale reis te helpen. Kostenontwikkelingen, technologische mogelijkheden en kwalitatieve data maken het samenvoegen van sommige activiteiten betaalbaarder, haalbaarder en krachtiger. Door te werken vanuit één gegevensbron op een gemeenschappelijk platform met een gemeenschappelijke technologiestack, kunnen risicofuncties leiders een geconsolideerd overzicht van risico's bieden. Succesvolle risicoleiders onderscheiden zich vooral in hun gebruik van (i) één set risicomaatstaven of KRI's die gekoppeld zijn aan de belangrijkste prestatie-indicatoren van de organisatie, (ii) een gemeenschappelijke risicotaxonomie binnen de hele onderneming, en (iii) een gemeenschappelijk beleidskader. Dit zijn allemaal noodzakelijke stappen om een gemeenschappelijk overzicht van risico's op te bouwen.