ПОЗНАНИЕ


Как да управляваме когато рискът от търговците и доставчиците стане наш

Финансовите институции са считани за отговорни за действията на своите доставчици. Нов подход може да помогне да се идентифицират и управляват на източниците на риск от трети страни.

Юли, 2013 | от Хамид Самандари , Джон Уолш и Емили Юх
Източник: McKinsey

Надигащата се вълна на регулаторния контрол, резултат от световната финансова криза, вече се прехвърли от банките към техните доставчици. Предвид общото схващане, че дейности могат да бъдат прехвърлени, но не и отговорността, Бюрото за финансова защита на потребителите (CFPB) и други регулаторни органи държат финансови институции отговорни не само за собствените им действия, но и за тези на техните търговци и доставчици. Миналата година , например, American Express, Capital One и Discover Bank са платили общо над 530 милиона долара за уреждане на жалби за измамни продажби и хищническо поведение от техните външни доставчици.

Този нов регулаторен натиск представлява голямо предизвикателство за финансовите институции, тъй като някои от тях имат ограничен поглед за взаимодействията на техните доставчици с клиенти. Най-големите банки и компаниите за кредитни карти могат да имат близо 50 000 доставчици. Те са доста внимателни за някои от тези взаимоотношения и често имат екипи за управление на големи и средни доставчици. Разбира се, много доставчици предоставят хартия, компютри и други несъществени стоки и услуги. Но значителен брой търговски взаимоотношения не се управляват внимателно, а някои от тях носят скрити рискове. Една компания, която произвежда кредитни карти, например, разполага с клиентските данни и това създава различни рискове за сигурността на личните данни.

В много институции, търговско-управленските програми са фокусирани предимно върху рисковете за самата банка и финансовата система – по-специално на гарантиране непрекъснатостта на работата, финансовата стабилност и кредитния риск. Много фирми са неподготвени за разширяване обхвата на регулаторния надзор до ниво потребители. Но след като финансовите институции трябва да поемат отговорността за пропуските на доставчиците си, те трябва да подобрят начина, по който се справят с тези взаимоотношения.

В отговор на промените, финансови компании търсят нови решения за идентифициране и управление на рисковете от трети страни. Редица водещи банки и компании за кредитни карти разработват и прилагат най-добри практики. Нашето изследване и опит ни помогнаха да разработим цялостен подход към управлението на риска на трети страни. Той се състои от шест основни стъпки, някои от които могат да бъдат предприети паралелно.

1. Подробен списък на третите страни

Регулаторите сега очакват институциите да познават техните трети страни, конкретно как всеки един от тях общува с потребителите и какви дейности извършва. Много фирми нямат пряк достъп до тази информация. Базите данни с доставчици могат да бъдат непълни, а някои от най-осезаемите рискове могат да се намират във взаимоотношения, които не се откриват в тях. Съвместни партньорства, спонсорство и други подобни взаимооотношения могат да достигнат до 80 процента от разходите, които някои бизнеси прехвърлят към доставчици. Но тези взаимоотношения често се управляват по начини, които акцентират върху търговски цели, а фокусът върху риска е едва второстепенен. Нещо повече, в някои фирми отделните бизнес единици имат различни начини за проследяване на доставчиците си, което прави трудно сравнението и обобщението на данните през цялата организация.

В нашия опит, ефективната база данни на трети лица включва всички взаимоотношения -  т.е. всяко лице не-клиент, с което финансовата институция има бизнес отношения. Един добър начин да започнете е подробното проучване на наличната информация в цялостната организация.

2. Изчерпателен каталог на рисковете от трети страни

За да се контролираt потребителския риск успешно, фирмите трябва да разработят подробен каталог на тези рискове, известнi също като „критични точки“, които формират основата за анализ на резултати, периодични одити и други контролиращи дейности. Да вземем предвид една критична точка за трета страна (call център): ако има риск, че агентите ще представят неточно информацията за продуктите на клиентите, банката може да изследва този конкретен проблем като провежда контролни обаждания и може да поиска редовни доклади относно тяхното качество и анализ (измерване) на степените на ескалация на клиентското запитване. Идентифицирането на съответните критични  точки за всяка категория доставчици и определянето на относителната тежест и важност на всяка критична точка може да се окаже предизвикателство. Изграждане на главен регистър на критичните точки и тежестите на съответните рискове може да помогне. Въпреки че от голямо значение за повечето фирми е главният регистър да бъде адаптиран към конкретните специфики на конкретната организация и нейните уникални взаимоотношения с трети страни. Този процес е от съществено значение, тъй като помага на фирмата да индентифицира същинската движеща сила на рисковете си и да управлява програма за смекчаването им.

Нагледно:

За да намалят рисковете, компаниите трябва да наложат контрол на специфични критични точки.

3. Сегментация на база рискове

След като фирмата разполага с пълен списък на доставчиците на трети страни и рисковете, които те създават за клиентите, тя може да раздели доставчиците по ниво на риска. Дори проста система на високо-, средно-и нискорисково ниво може да бъде полезна. Ние установихме, че повечето водещи институции имат от 200 до 300 високорискови взаимоотношения в даден момент, независимо от общия брой на трети лица, с които те имат сключени договори. Ефективното разделение може да помогне на фирмата да определи как да използва стратегически ресурсите си. Например, тя може да извърши допълнителен одит (due diligence) на високорискови взаимоотношения и да автоматизира регулярни проверки на нискорискови доставчици.

Нашият опит показва, че фирмите обикновено използват един от двата подхода за сегментиране на външни доставчици. Компании, които следват подхода на база оценка на резултатите, извършват преглед на всички дименсии на взаимоотношението и използват резултатите, за да постигнат сумарна оценка на риска. Въпреки че е много задълбочен, този подход може да бъде ресурсоемък и тежък за много организации. Използвайки нормирания подход, фирмата задава специфичните норми или критерии за всеки сегмент и по този начин процесът на причисляване на доставчиците към рисковите категории се опростява. Всъщност, този подход е около 40 до 60 процента по-бърз от оценката на резултатите. Предвид значението на подхода за сегментиране, водещи институции са склонни да инвестират значителни средства за дефинирането му. Обикновено се  назначава базов екип от експерти по риска да ръководи създаването, детайлизирането и въвеждането на подхода за рискова сегментация.

4. Due-diligence тест базиран на оценка на резултатите.

Днес се очаква фирмите да разширят своите проверки и одити извън традиционните оценки на рисковете от доставчици, оперативни рискове и такива, свързани с IT сигурност. Регулаторите са все по-чувствителни към стратегически и репутационни рискове, които третите страни могат да създадат за клиентите. Традиционните подходи определят специфични due diligence дейности за рисковата категория, съгласно сегментацията на рисковете;  като всеки доставчик във високорискова категория е подложен на всички due diligence проверки. Както и при подходът на сегментация чрез оценка на резултатите, това също може да бъде прекалено натоварващо и изискващо много ресурси. И тук, нормираният подход може да даде по-добър резултат, защото инициира подходящ набор от специфични due diligence дейности за установените рискове. Например, дори ако трета страна е считана за високорискова, проверка за сигурност на информацията и защита на данните не е необходим,ако доставчикът не разполага с информация, която идентифицира клиентите лично. По наши изчисления, нормираният подход може да редуцира времето на служителите с близо 40 процента.

5. Процес за системно управление и ескалация

Организационната структура е особено важна когато управленските права са разпръснати в редица бизнес звена и функции, като доставки (procurement), съответствие (compliance) управление на оперативния риск. Чрез активно създаване на управленски структури и процеси за преодоляване на несъответствия, фирмите могат бързо да решат предизвикателства, пред които са изправени.

Управлението може да бъде централизирано или децентрализирано; и двата модела (и някои хибриди) могат да бъдат успешни. В централизирания модел, повечето основни права във връзка с управление на рисковете се концентрират в една бизнес група, като доставки (procurement) или споделени услуги (shared service). Докато централизирания модел посочва ясно отговорния „собственик“ на проблема за управление на риска, това може понякога да доведе до напрежение между конкретната бизнес единица, която има работни отношения с третата страна и централизирания орган, отговорен за оценката на риска.

В децентрализирания модел, бизнес единицата, която управлява взаимоотношението, отговаря и за управлението на риска. Този модел понякога може да доведе до дублиране на ресурсите: няколко бизнес единици могат, например да оценят един и същ основен външен доставчик за договори за сходни доставки. В някои случаи, прилагането и съгласуването на рисковите стандарти може да бъде некоректно при децентрализирания модел: звената, които управляват например доставките (procurement) и оперативния риск може да имат различни гледни точки. Хибриден подход, внимателно съобразен с организационната структура, може да помогне за смекчаване на предизвикателствата  пред двата модела, доколкото обаче собствеността на (управлението на) риска трябва да е винаги ясно.

Правилата за ескалация са от решаващо значение за решаване на проблеми, като например искания за прилагане на изключения и решения относно нарушения на трети лица, които превишават управленските лимити ,зададени в конкретната управленска структура. Докато повечето организации имат екипи за управление на оперативния риск, техният управленския модел и мандат може да не са достатъчни за решаване на допълнителен обем въпроси, касаещи трети страни. Нашият опит показва, че водещи финансови институции често избират да възложат нови отговорности на постоянните комисии,отколкото да създават нови, които да подкрепят ескалацията на проблеми, свързани с трети страни. Всяка организация трябва да намери подходящ подход, имайки предвид склонността за риск и корпоративната култура.

6. Интегриран процес и инструменти за управленска отчетност и workflow

Несъмнено , управленските доклади за дейността и добре конструираните workflow системи са от съществено значение за отчетността във всички бизнес звена, съответствие (compliance) и одит. За да работят добре, тези инструменти трябва да следят и контролират съответните данни. По-важно е, че те трябва да помагат с ясни насоки работния процес, в рамките на и между отделните бизнес звена, и да дадат на мениджърите ясна представа за реалния риск. Нашият опит показва, че повечето организации в момента имат средства, които са насочени към една или две от тези функционални потребности, но доколкото ни е известно никой няма единен инструмент, който да изпълнява всичките три.

Да изградиш изцяло ново приложение за оценка на риска от трети страни е голямо начинание, но същото важи и за подобряването на съществуващ инструмент за оценка на риска да изпълнява нови функционалности. Някои фирми се обръщат към готови шаблони средства за управление на работния процес и риска, които могат  лесно да се адаптират към конкретните нужди на организацията.

Рискове от производители и доставчици представляват сериозно предизвикателство за финансовите институции. Системният подход към управлението на тези рискове може да намали разходите и да помогне на банките да представят смислен подход към всички заинтересовани страни, в т.ч. и регулаторните органи.

 


Как да управляваме когато рискът от търговците и доставчиците стане наш | NOVACON ПОЗНАНИЕ | NOVACON, The Payroll & Accounting Company