Gartner’a göre kurumsal risk yönetimi (ERM) ekipleri, giderek birbirine bağlı hale gelen iş ortamında üçüncü taraf riskini etkili bir şekilde azaltmak için mücadele ediyor.
ERM doğru sorunları gündeme getirmek için mücadele ediyor
Eylül 2022’de 100 yönetici risk komitesi üyesiyle yapılan bir Gartner anketinde, yanıt verenlerin %84’ü üçüncü taraf riskinin “kaçırılmasının” operasyon kesintilerine yol açtığını söyledi.
Gartner Legal Risk & Compliance Practice’de araştırmadan sorumlu Başkan Yardımcısı Chris Matlock, “Çoğu kuruluş, son yıllarda sözleşmeli üçüncü tarafların sayısında bir artış gördü,” dedi. “Ayrıca, kuruluşların çoğu ayni yeni hizmetler için üçüncü tarafları kullanıyor ve operasyonlarını yürütmek için onlara daha fazla bağımlı hale geldi. Üçüncü şahısların artan kullanımı, iş operasyonlarını birçok yönden iyileştirebilse de, aynı zamanda kuruluşlar üzerinde dikkate değer etkilere neden olan riskleri de beraberinde getiriyor.”
Matlock, “Üçüncü taraf risk yönetimi faaliyetlerine ERM katılımı, 2016’dan bu yana yönetim kurulu genelinde arttı” dedi. “Ancak, sadece daha fazlasını yapmak yeterli değildir çünkü üçüncü taraf riskinin özellikleri, tipik bir ERM kurulumunun etkinliğini zayıflatır.”
ERM, doğru konuları gündeme getirmek için mücadele ediyor çünkü genellikle odağını yönetilebilir bir dizi sorunla sınırlamakta başarısız oluyor. ERM liderleri, önce hangi konularda harekete geçilmesi gerektiğini net bir şekilde tanımlamıyorlar ve tipik olarak izleyicilerini, ortaya çıkan konularda somut adımlar atmaya iyi hazırlamıyorlar.
Büyük bir kuruluşta üçüncü taraf riskini yönetme
Gartner’ın kurumsal üçüncü taraf risk yönetimi olarak adlandırdığı bir yaklaşım olan, büyük bir kuruluşta üçüncü taraf riskini yönetmede etkinliği artırmak için ERM’nin farklı şekilde yapması gereken üç yön vardır.
Temel olarak, bu, ERM ekiplerinin, üçüncü taraf kullanımının hızlı büyümesinin getirdiği risk hacmindeki ve değişkenlikteki üstel artışın yarattığı aşırı bilgi yüklemesini yönetmesine yardımcı olacak bir yaklaşımdır.
1. Üçüncü taraf riskleri genellikle yüksek hacimlidir, doğası gereği heterojendir ve işletme genelinde önem açısından büyük farklılıklar gösterir. Bu nedenle, neyin en önemli olduğunu belirlemek ve önceliklendirmek zordur. ERM öncelikle yalnızca kurumsal düzeyde en önemli olan girdileri izole etmeli ve birleştirmeli, böylece en önemli girdileri toplamaya ve en kritik kurumsal üçüncü taraf risklerini ele almaya odaklanmalarını sağlamalıdır.
2. ERM, çeşitli risk sahipleri arasında uyum sağlamak için çalışmalıdır bütüncül bir bakış açısı elde etmek ve uzlaşmaya yönelik çalışmaları için fırsatlar yaratmak. Uygulamada bu, ERM’nin tüm risk bilgilerinin ve hafifletilmesinin merkezi bir koordinatörü olarak hareket etmesinin aksine, risk ortak sahipleri arasındaki doğrudan düşünce ortaklığının kolaylaştırılması anlamına gelir.
3. ERM’nin bir trend gözlemcisi olarak rolü, genişleyen üçüncü taraf ortamı tarafından da zayıflatılmaktadır. çünkü potansiyel sorunlar çok fazladır ve mevcut veriler genellikle zaman içinde ve gecikmelidir. Yine çözüm, izlenmekte olanın kapsamını daraltmak, ortaya çıkan en kritik sorunlara odaklanmayı sınırlamak ve ERM’nin kritik kurumsal risk eğilimlerini güvenilir bir şekilde tespit etmesini sağlayan bir dizi kolayca izlenen ileriye dönük göstergeyle bunları proaktif olarak izlemektir.
Matlock, “Üçüncü taraf riskine maruz kalmanın artması ve ufukta çok sayıda gelen tehdit olması nedeniyle, risk komiteleri ERM’nin üçüncü taraf riskini yönetmede daha büyük bir rol oynamasını bekliyor” dedi. “Yine de geleneksel ERM duruşu, işletme düzeyinde üçüncü taraf riskine ilişkin özlü, eyleme geçirilebilir bir görünüm sağlamakta zorlanıyor. Bu nedenle ERM, kurumsal düzeyde önceliklerin tanımlanmasını, işlevler arası uyumu sağlamayı ve ileriye dönük göstergeleri izlemeyi içeren kurumsal üçüncü taraf risk yönetimine odaklanmalıdır.