1. Бізнес на довірі — і на ризику

Сучасний бізнес стоїть не на стінах, а на зв’язках. Майже кожна компанія сьогодні залежить від когось: хтось зберігає її дані в “хмарі”, хтось доставляє продукцію, хтось обслуговує клієнтів, а хтось надає програмне забезпечення, без якого не відкриється жоден робочий день. Це зручно, швидко, ефективно — і водночас небезпечно. Бо там, де починається довіра, починається і ризик третіх сторін.

Класична модель бізнесу “все всередині” поступово зникла. Її замінив світ партнерств і аутсорсингу, де межі між компаніями розмиті, а процеси — взаємопов’язані. У страхових компаніях, наприклад, значна частина операцій давно виноситься за межі організації: контакт-центри, IT-супровід, лікарські експертизи, аварійні комісари. І кожна з цих ланок стає точкою потенційної відмови, навіть якщо формально не входить до структури компанії.

Згідно з KPMG Third-Party Risk Management Survey 2024, понад 70% фінансових установ зазнавали інцидентів через контрагентів протягом останніх двох років, а третина — значних фінансових втрат. Найчастіше причини криються не у шахрайстві, а у звичайних збоях — відсутності резервів, неправильних налаштуваннях, недбалій роботі підрядника. Проте для клієнта все виглядає однаково: компанія не працює — отже, винна компанія.

Українські реалії роблять цю тему ще гострішою. Війна, релокація персоналу, перебої зв’язку, кіберзагрози — усе це підвищує вразливість ланцюгів постачання. Якщо ІТ-провайдер знаходиться в зоні ризику, а контакт-центр працює з іншої країни, навіть локальна подія може миттєво зупинити операції. І тоді жоден клієнт не питатиме, чия це зона відповідальності — він просто втратить довіру.

Проблема в тому, що ризик не передається разом із контрактом. Ми можемо делегувати функцію, але не відповідальність. Коли партнер не виконує зобов’язання або порушує безпеку даних, удар приймає головна компанія — її бренд, репутація, ліцензія. Саме тому третіх сторін дедалі частіше називають “тіньовими співробітниками”: вони поза штатом, але всередині ризик-профілю.

Ланцюг постачання сьогодні нагадує мережу нервів — тонких, чутливих і взаємозалежних. Один збій у будь-якій точці викликає параліч усієї системи. І чим довший ланцюг, тим більша ймовірність, що хтось десь натисне не ту кнопку або не прочитає лист. Саме тому управління ризиками третіх сторін — не технічне завдання, а питання життєздатності компанії.

У наступному розділі ми розберемо, де саме народжуються ці ризики: у яких точках компанія стає залежною від своїх партнерів, як дрібні зручності перетворюються на стратегічну слабкість, і чому в епоху цифрової взаємозалежності слово “постачальник” дедалі частіше означає “партнер по ризику”.

2. Де народжуються ризики третіх сторін

Ризики третіх сторін рідко виглядають загрозливо на старті. Навпаки — вони зазвичай починаються зі зручності. Коли компанія віддає частину процесів на аутсорсинг, здається, що вона зменшує навантаження й оптимізує витрати. Але разом із функцією вона непомітно передає і частину контролю. І саме у цьому компромісі між ефективністю та управлінням народжується майбутня вразливість.

Найбільш очевидне джерело ризику — аутсорсинг критичних процесів. ІТ-провайдер, який обслуговує бази даних; кол-центр, що приймає звернення клієнтів; компанія, яка забезпечує хмарне зберігання документів — усі вони мають доступ до того, що визначає життєздатність бізнесу. Якщо один із них зупиняється, зупиняється і замовник. Навіть короткий збій у роботі CRM чи серверів може призвести до втрати продажів, прострочення звітності або неможливості здійснювати виплати.

Інше джерело — непрозорість ланцюга постачання. Багато компаній знають своїх безпосередніх контрагентів, але не уявляють, хто стоїть далі — за другим чи третім рівнем. Постачальник може залежати від субпідрядника, той — від іншої компанії, а вона — від логістичного оператора. І коли стається збій на нижньому рівні, наслідки відчуває вершина ланцюга. Deloitte Global Third-Party Risk Report 2024 наголошує: понад 40% компаній не мають повного уявлення про своїх субпостачальників, хоча саме звідти походить більшість інцидентів.

Окремий фактор — людський чинник у зовнішніх командах. Коли працівники підрядника мають доступ до даних або систем компанії, але не проходять її внутрішні перевірки та навчання, рівень ризику автоматично зростає. Часто це навіть не злий умисел, а різниця у стандартах: для одного “звичайна практика” може бути порушенням інформаційної безпеки для іншого. Саме через такі дрібні розбіжності у процедурах виникають інциденти, яких можна було б уникнути одним рядком у договорі або коротким інструктажем.

Ще одна причина — недооцінка регіональних і політичних ризиків. У час війни та глобальної нестабільності багато українських компаній співпрацюють із партнерами з різних країн. Але не завжди враховують, що доступ до сервісів може бути заблокований через санкції, військові дії або кібератаки на інфраструктуру. Проблема полягає в тому, що більшість компаній починають думати про ризики постачальників лише тоді, коли щось стається. Поки все працює — здається, що контроль не потрібен. Але коли з’являється перший збій, виявляється, що договори не передбачають SLA, канали комунікації не прописані, а резервний план ніхто не тестував. У результаті компанія опиняється в ситуації, де немає винного, але є збитки.

Тому справжнє управління ризиками третіх сторін починається задовго до підписання контракту. Це не пункт у договорі, а стратегічний процес — від аналізу потенційних партнерів і перевірки їхньої стійкості до створення системи моніторингу. Бо ризик народжується не тоді, коли стається збій, а коли компанія перестає ставити питання.

3. Коли партнер стає точкою відмови

Найбільша ілюзія сучасного бізнесу — думати, що зовнішні підрядники зменшують ризики. Насправді вони лише змінюють їхню форму. Іноді саме партнер, якому компанія довіряє найбільше, стає тим самим “єдиним вузлом”, який зупиняє все.

У 2023 році одна страхова компанія втратила доступ до своєї CRM на чотири дні — через аварію в дата-центрі провайдера. Резервні копії зберігалися на тому ж сервері, що й основна база, а контракт не передбачав компенсації за простій. У результаті — паралізовані продажі, десятки пропущених звернень клієнтів і зіпсована статистика за квартал. У технічному звіті інцидент назвали “позаштатною ситуацією у підрядника”. Але з точки зору клієнта винна була страхова.

Найбільш показовим прикладом міжнародного масштабу став інцидент із компанією ION Group у 2023 році. Після кіберзламу їхня система розрахунків зупинила роботу сотень фінансових установ у Європі, включно з великими банками. Компанії не могли завершувати операції, оскільки критичний софт належав постачальнику. Цей випадок став ілюстрацією того, як один вузол може паралізувати цілу фінансову екосистему.

У страхуванні подібна ситуація може виникнути навіть через дрібницю: підрядник, який оцінює збитки, не виходить на зв’язок, або компанія-партнер з автосервісів затримує ремонти через власні проблеми з постачанням деталей. Здавалося б, це не вина страховика, але саме його клієнт очікує результату. І саме він отримає хвилю негативу.

Це і є головний парадокс ризиків третіх сторін: відповідальність завжди лишається у того, хто ближче до клієнта. Коли підрядник помиляється — репутаційний удар падає на бренд, а не на невідомого субпостачальника. І саме тому CRO має дивитися ширше, ніж організаційна структура компанії.

Ефект “доміно” у ланцюгах постачання — не гіпотеза, а закономірність. Якщо один елемент не працює, решта не зможе компенсувати втрату миттєво. У складних системах не існує “маленьких” підрядників. Кожен — потенційна точка відмови, яка або витримає навантаження, або зруйнує ланцюг. І завдання ризик-менеджера — бачити цю мережу не як набір контрактів, а як екосистему взаємної залежності.

4. Як будувати контроль поза межами компанії

Управляти тим, що тобі не належить, — одне з найскладніших завдань сучасного ризик-менеджменту. Але саме в цьому полягає сутність управління ризиками третіх сторін: контроль не можна передати, навіть якщо передано функцію. І тому компанія має навчитися “бачити далі власного паркану” — розуміти, як працюють її постачальники, з ким вони співпрацюють і які слабкі місця можуть стати її власними проблемами.

Перший крок — ретельна перевірка партнерів перед підписанням контракту (due diligence). Це не формальна анкета, а справжній аналіз фінансової стабільності, операційної зрілості, ІТ-захисту, репутації та навіть географічних ризиків. Кращі практики — використовувати багаторівневу оцінку: короткий скринінг для малих постачальників і повну перевірку для критичних. Саме такий підхід уже застосовують українські банки під наглядом НБУ, а з 2026 року, ймовірно, стане обов’язковим і для страхових компаній.

Другий рівень — класифікація постачальників за рівнем критичності. Не всі зовнішні партнери однаково важливі. Хтось забезпечує основні бізнес-процеси (IT, виплати, продажі) — це “критичні”, хтось виконує допоміжні функції — “операційні”. Для перших мають діяти підвищені вимоги: детальний договір про рівень сервісу (SLA), резервні сценарії, обов’язкові тести на безперервність бізнесу (BCP tests).

Третій аспект — регулярний моніторинг і аудит. Контроль не завершується після підписання угоди — навпаки, він починається з неї. EIOPA Guidelines on Outsourcing to Cloud Service Providers (2020) прямо вимагають, щоб фінансові установи проводили періодичні перевірки постачальників, зокрема технічних. Українські компанії поступово впроваджують схожі практики: щорічна перевірка безпеки хмарних провайдерів, звіти SOC 2 або ISO 27001, підтвердження планів відновлення після збоїв.

Ще один важливий елемент — договірна база. У більшості контрактів прописані строки та оплата, але не механізми реагування на інциденти. SLA має бути не “для галочки”, а живим документом, який визначає чіткі пороги: скільки часу має постачальник, щоб відновити сервіс, як він повідомляє про інциденти, і яку відповідальність несе за порушення. В ідеалі — навіть компенсаційний механізм у разі операційних втрат клієнта.

Контроль поза межами компанії також означає контроль взаємодії. Необхідно створити канали швидкої комунікації з ключовими партнерами у кризових ситуаціях. Деякі українські страховики вже проводять спільні “антикризові тренування” з кол-центрами та IT-підрядниками: симулюють збої, щоб перевірити, як швидко обидві сторони реагують. Такий формат не лише підвищує готовність, а й формує довіру, яка перевірена дією, а не декларацією.

І, нарешті, треба контролювати не людей, а ризики. Суть підходу полягає у тому, щоб побудувати систему, де прозорість і взаємна відповідальність стають нормою. У зрілих компаніях партнерів не сприймають як “чужих”, а як частину спільної екосистеми. Адже в умовах взаємозалежного ринку виживає не найсильніший, а той, хто вміє керувати спільною вразливістю.

5. KRI і ризик-апетит для третіх сторін

Коли компанія передає частину процесів назовні, вона не лише делегує функцію — вона множить невизначеність. І щоб ця невизначеність не перетворилась на сліпу зону, її треба виміряти. У цьому сенсі KRI для третіх сторін — це не цифри для звіту, а інструменти для бачення того, що відбувається за межами офісу.

Перший принцип — визначити, що саме вимірювати. Класичні показники включають: кількість інцидентів у постачальника, середній час реагування на запит (SLA performance), частоту порушень договору, частку невиконаних зобов’язань, рівень успішного тестування резервних сценаріїв. Для ІТ-провайдерів — це uptime серверів і час відновлення (RTO), для кол-центрів — частка пропущених дзвінків або скарг клієнтів. Головне, щоб кожен показник мав джерело даних і частоту оновлення.

Другий принцип — інтегрувати ці KRI у ризик-апетит. Наприклад: “допустимий рівень недоступності послуг постачальників — до 1% робочого часу на квартал” або “частка інцидентів, спричинених третіми сторонами, не перевищує 10% загальних операційних втрат”. Такі пороги дають змогу оцінити не лише ефективність партнерів, а й рівень залежності компанії від них. У деяких європейських страхових групах ці ліміти прямо прив’язують до обсягу капіталу, зарезервованого на операційні ризики.

Третій принцип — KRI мають бути двосторонніми. Партнер теж повинен знати, за якими параметрами його оцінюють. Прозорість створює відповідальність. Якщо постачальник бачить, що від його стабільності залежить частина ризик-профілю замовника, він і сам зацікавлений у кращих показниках. Це особливо важливо для невеликих компаній, які не мають формальної системи управління ризиками, але можуть підвищити якість просто через залучення до спільного моніторингу.

Четвертий принцип — своєчасна інтерпретація сигналів. Самі по собі KRI нічого не змінюють, якщо компанія не реагує на їхні відхилення. Якщо рівень SLA знижується два квартали поспіль — це не просто статистика, а початок ризикової тенденції. Кращі компанії мають механізм автоматичного попередження: якщо показник виходить за межі ризик-апетиту, формується внутрішній “alert” і запускається процес перевірки або зустрічі з постачальником.

П’ятий принцип — спільна відповідальність між CRO та бізнесом. Ризик-менеджер не може “контролювати” контрагентів самостійно — він задає рамку, показники, аналізує динаміку, а лінійні менеджери впроваджують зміни. Саме тому в зрілих компаніях таблиця KRI для третіх сторін зберігається не у ризик-відділі, а у CRM або системі закупівель, щоб кожен менеджер бачив, як показники його постачальників впливають на загальний ризик-профіль.

Нарешті, KRI — це мова довіри. Вони дозволяють замовнику й постачальнику говорити фактами, а не припущеннями. І коли обидві сторони сприймають цифри не як контроль, а як спільний інструмент стабільності, ризик-апетит перестає бути формальною таблицею — він стає частиною культури партнерства. Бо там, де ризики вимірюють разом, втрати трапляються рідше.

6. Довіра, яку треба перевіряти

Кожен бізнес будується на довірі. Без неї не існує партнерства, ланцюгів постачання, клієнтських відносин. Але довіра у XXI столітті вже не означає беззастережність. Вона означає усвідомлений контроль. Перевіряти — не значить не довіряти. Це означає берегти спільну стабільність.

Компанія, яка покладається на партнерів, стає частиною великої екосистеми. І в цій екосистемі помилки рідко бувають ізольованими. Збій в одного — це випробування для всіх. Саме тому зрілий ризик-менеджмент сьогодні не шукає “винних”, а розуміє взаємозалежність: немає “їхніх” і “наших” ризиків, є лише спільні наслідки.

Керування ризиками третіх сторін — це насамперед про зрілість і прозорість. Зрілість — це коли компанія не боїться питати партнера про його резерви, плани відновлення, аудити, навіть якщо це виглядає незручно. Прозорість — це коли партнер відповідає чесно, знаючи, що мова не про недовіру, а про спільну відповідальність за бізнес, який має вистояти попри все.

Треті сторони стали четвертим “рядком оборони”. Після трьох ліній — операцій, ризик-функції й аудиту — з’явився ще один шар: мережа партнерів, які фактично розділяють долю компанії. І саме тому кожен контракт сьогодні — це не лише юридична угода, а частина системи управління ризиками, що визначає, наскільки бізнес стійкий до невизначеності.

Культура контролю поза межами компанії — це ознака зрілості всієї організації. Бо тільки сильна компанія може перевіряти не з недовіри, а з турботи про спільну стабільність. І лише там, де є така культура, довіра не розчиняється у деклараціях — вона стає частиною стратегії.

Отже, справжня сила компанії полягає не в тому, щоб уникати ризиків, а в тому, щоб розуміти їх і ділити чесно. Бо у світі взаємопов’язаних процесів жоден бізнес не стоїть окремо. І найміцніший ланцюг — це не той, де немає слабких ланок, а той, у якому всі знають, що робити, коли одна з них дає тріщину.

Що далі

У наступній статті циклу ми поговоримо про регуляторні ризики — про ту тонку межу між наглядом і тиском, яка визначає, наскільки компанія може розвиватися, не втрачаючи гнучкості. Ми розберемо, як змінюється підхід НБУ, чому навіть найкращі наміри регулятора іноді створюють нові ризики, і як перетворити відповідність вимогам на інструмент конкурентної переваги. Бо у зрілому ринку контроль і розвиток не вороги — вони дві сторони однієї відповідальності.

Сергій Бабич