Ознайомився з цікавою публікацією Лінди Так Чепмен (Linda Tuck Chapman) у мережі LinkedIn  — і, як на мене, вона піднімає дуже точні питання щодо стану програм управління ризиками третіх сторін (TPRM). Матеріал побудований навколо доволі простого, але водночас дуже сильного протиріччя: 83% організацій вважають свої програми «встановленими», але лише 22% мають чітко визначені метрики для їх вимірювання. І саме це протиріччя авторка називає «ілюзією зрілості» — станом, коли структура вже існує, але реальної здатності управляти ризиком ще немає.

Цей розрив у сприйнятті підтверджується й іншими цифрами. З одного боку — зростання кількості постачальників і майже повсюдна впевненість у тому, що TPRM створює цінність. З іншого — обмежена вимірюваність, слабка видимість за межами першого рівня контрагентів і відсутність контролю над ризиками четвертих сторін у значної частини організацій. У такій конфігурації «зрілість» стає радше декларацією, ніж характеристикою системи.

Дуже чітко у пості сформульовано чотири типові розриви, які ховаються за цим відчуттям зрілості. Перший — підміна управління активністю: коли процеси виконуються, але немає відповіді на ключове питання — що станеться у разі відмови критичного постачальника. Другий — підміна нагляду документацією: політики існують, але не забезпечують фактичного контролю. Третій — підміна результатів показниками активності: кількість оцінок зростає, але вплив на ризик залишається незрозумілим. І четвертий — обмеженість видимості лише першим рівнем контрагентів, тоді як реальний ризик знаходиться глибше в ланцюгу.

Обговорення під постом, хоча і не надто численне, фактично підтверджує ці спостереження на практичному рівні. Один із коментаторів прямо зазначає, що навіть великі і регульовані організації часто залишаються на рівні роботи з документами і таблицями, не маючи повноцінної операційної моделі TPRM. І відповідь авторки на цей коментар є показовою: документи і інструменти можуть підтримувати процес, але вони не є самим процесом. Справжня зрілість починається там, де з’являється чітка відповідальність, здатність приймати рішення, механізми ескалації і, головне, зв’язок між ризиком і бізнес-результатом.

Цікаво, що навіть у коротких реакціях інших учасників дискусії повторюється один і той самий мотив — важливість «фундаменту». Це ще раз підкреслює, що проблема не в окремих інструментах або підходах, а в базовій архітектурі системи управління ризиками. Якщо вона побудована навколо збору інформації, а не навколо прийняття рішень, то жодне розширення процесів не зробить її по-справжньому зрілою.

Окремо варто відзначити реакцію авторки на коментар щодо підміни активності контролем. Вона прямо формулює критерій зрілості: не обсяг виконаної роботи, а здатність системи працювати в момент, коли ризик реалізується. Це дуже важливий зсув фокусу — від процесу до результату, від звітності до дії.

У підсумку і сам пост, і обговорення під ним сходяться в одному висновку. Проблема TPRM сьогодні полягає не в нестачі інструментів або уваги до теми, а в розриві між формальним існуванням програм і їхньою реальною ефективністю. І цей розрив стає особливо небезпечним у міру зростання складності ланцюгів постачання і залежності бізнесу від зовнішніх контрагентів. І, як на мене, ключове питання, яке ставить ця публікація, звучить доволі прямо: чи здатна організація не просто показати, що вона «керує» ризиками третіх сторін, а відповісти, що саме відбудеться, коли один із цих ризиків реалізується. Саме в цій точці і закінчується ілюзія зрілості.

Докладніше за посиланням

Сергій БАБИ