Jak ramy COSO mogą pomóc w ograniczeniu ryzyka osób trzecich

Firmy coraz częściej zlecają na zewnątrz wiele swoich funkcji, co utrudnia zarządzanie ryzykiem. Outsourcing, który może być korzystny dla firm, które nie dysponują szerokością pasma lub specjalistyczną wiedzą, niekoniecznie jest problemem. Należy pamiętać, że nie przenosi się ryzyka przy przenoszeniu pracy.

Dobra wiadomość jest taka, że ryzykiem można zarządzać poprzez wykorzystanie dobrze przyjętych, stopniowych ram. Po wdrożeniu, ramy mogą pomóc w zidentyfikowaniu i zaradzeniu nieodłącznym ryzykom związanym ze współpracą z zewnętrznym dostawcą usług oraz w określeniu, czy koszty outsourcingu przewyższają związane z nimi korzyści.

Poprzez ten proces argument staje się jasny i udokumentowany, czy zlecasz produkcję widżetu na zewnątrz, ułatwiasz przepływ produktu, czy też zapewniasz ubezpieczenie.

Ramy COSO 2013

Ramy te są pomocne, gdy kierownictwo zaczyna nakreślać i wdrażać plan identyfikacji, oceny, reagowania i monitorowania ryzyka. Misją COSO (Committee of Sponsoring Organizations of the Treadway Commission) 2013 Internal Control-Integrated Framework jest opracowanie wytycznych, które pomogą organizacjom zminimalizować ryzyko poprzez ustanowienie procesów i poprawę kontroli.

Chociaż ramy mogą wydawać się podstawowe i logiczne, zaskakujące jest, jak często nie wprowadza się kontroli w celu monitorowania w szczególności działalności osób trzecich. Przyjrzyjmy się bliżej pięciu komponentom i ich 17 podstawowym zasadom, które odnoszą się do ryzyka związanego z działalnością stron trzecich w obrębie ram:

  • Środowisko kontroli
  • Ocena ryzyka
  • Działania kontrolne
  • Informacja i komunikacja
  • Działania monitorujące

Niektóre z punktów ciężkości w ramach każdej z 17 zasad mówią bezpośrednio o włączeniu zewnętrznych dostawców i powinny być stosowane w relacjach roboczych z zewnętrznymi dostawcami usług. Ryzyko, że tego nie zrobisz, jest po prostu zbyt duże. Podczas gdy 17 zasad jest podzielonych na 87 punktów ciężkości, które zapewniają głębsze zanurzenie się w ramy, poniżej przedstawiono kluczowe punkty pięciu komponentów.

Środowisko kontroli

Kierownictwo i zarząd organizacji muszą nie tylko dawać przykład poprzez swoje wytyczne, działania i zachowanie, ale także muszą ustanowić formalny proces postępowania. Do obowiązków kierownictwa należy nadawanie tonu na szczycie poprzez stosowanie tych zasad:

Standardy postępowania. Ustanowienie kodeksu postępowania, który ma zastosowanie do wszystkich, w tym do stowarzyszonych stron trzecich. Kierownictwo powinno poinformować o tym sprzedawców i uwzględnić to w ich umowach.

Oversight. Posiadać proces do oceny wydajności jednostek i zespołów w odniesieniu do standardów postępowania, w tym wydajności osób trzecich.

Struktura, uprawnienia i odpowiedzialność. Odpowiedzialność za podtrzymywanie ram COSO jest podzielona według pozycji w organizacji. Przez to wszystko, ważne jest, by dawać przykład.

Odpowiedzialność. Problemy i odchylenia od standardów muszą być zidentyfikowane i naprawiane szybko i konsekwentnie. Wszyscy, w tym sprzedawcy zewnętrzni, muszą być odpowiedzialni za swoje działania.

Ocena ryzyka

Ryzyko utraty reputacji jest największym problemem, gdy polegasz na osobach trzecich, ponieważ nie wiesz, czego nie wiesz – i jest znacznie większe niż to, czy dostajesz swoje widżety na czas, czy w ogóle.

Przeglądaj umowy okresowo, aby upewnić się, że spełniają one Twoje potrzeby i oczekiwania, ponieważ okresy przejściowe mogą oznaczać błędy w kontroli. Dokonuj ponownej oceny, gdy zachodzą zmiany w otoczeniu regulacyjnym, ekonomicznym i fizycznym, w którym działa Twoja organizacja, a także zmiany w modelu biznesowym lub przywództwie.

Działania kontrolne

Przeprowadzanie działań kontrolnych pomaga w tworzeniu reakcji na ryzyko i jego ograniczaniu. Dużą część tych działań stanowi kontrola technologii. Aby chronić aktywa jednostki przed zagrożeniami zewnętrznymi, kierownictwo musi zaprojektować i wdrożyć te mechanizmy kontrolne w taki sposób, aby środowiska informatyczne były właściwie ograniczone tylko do uprawnionych użytkowników, a przetwarzanie danych było pełne, dokładne i prawidłowe.

Informacja i komunikacja

Kontrole wewnętrzne są bezużyteczne, jeśli nie masz środków na ich przekazanie. Zarząd i rada nadzorcza muszą ułatwiać otwarty i uczciwy dwukierunkowy przepływ informacji, aby pracownicy, sprzedawcy i kierownictwo mogli wypełniać swoje zadania zgodnie ze standardami postępowania.

W przypadku zgłaszania oszustw niezbędne są anonimowe infolinie, aby potencjalni sygnaliści poczuli się bezpiecznie zgłaszając czerwone flagi w przypadku awarii normalnych kanałów. Na przykład, problemy jakościowe wynikające z działań osób trzecich powinny być wykrywane w magazynie i przekazywane do góry. Jeśli Twoi klienci są pierwszym słowem w kwestiach kontroli jakości, możesz już być zatopiony.

Działania monitorujące

Ryzyko można ograniczyć tylko wtedy, gdy można je zidentyfikować, ocenić, które elementy sterujące działają, a które nie, a następnie wprowadzić zmiany. Podczas gdy ich praca jest kontraktowana, zewnętrzni usługodawcy powinni być postrzegani jako część Twojej organizacji i podlegać tym samym kontrolom i ocenom.

Linia komunikacji powinna być również otwarta na zewnątrz, m.in. dla udziałowców, partnerów, właścicieli, organów regulacyjnych, klientów i analityków finansowych. Pozwala to na przekazywanie istotnych informacji radzie nadzorczej, czy to za pośrednictwem ocen przeprowadzanych przez strony zewnętrzne, czy też anonimowych wskazówek przekazywanych za pośrednictwem infolinii sygnalizatorów, dostępnych dla osób wewnątrz i na zewnątrz organizacji.

Ryzyko jest wszędzie i to właśnie te organizacje, które je rozpoznają i podchodzą do niego z rozwagą, mają największe szanse na jego złagodzenie.