مدیریت ریسک شخص ثالث TPRM چیست و چرا اهمیت دارد؟

مدیریت ریسک شخص ثالث چیست و چرا اهمیت دارد؟

TPRM :  Third-Party Risk Management

در دنیای امروز، هیچ سازمانی به تنهایی کار نمی کند. همه ما برای ادامه فعالیت به تأمین کنندگان، پیمانکاران، شرکتهای برون سپاری، شرکای فن آوری اطلاعات، مشاوران، فروشندگان خدمات و… وابسته هستیم. این طرف های ثالث، هر چه قدر هم حرفه ای باشند، می توانند منبعی از ریسک های مالی، عملیاتی، امنیتی، حقوقی و اعتباری باشند. به همین دلیل، موضوعی به نام TPRM یا همان مدیریت ریسک شخص ثالث Third-Party Risk Management  شکل گرفته است.

چرا مدیریت ریسک شخص ثالث، اهمیت دارد؟

دلیل اهمیت این موضوع تا حدود زیادی مشخص می باشد. بارها پیش آمده است اتفاق ها، رویدادها و عملکرد یکی از ذینفعان سازمان، اثرات خیلی جدی بر روی سازمان گذاشته است. مثال هم زیاد بوده و اخیرا هم شاید مشاهده کرده باشید.

مثلا سوء رفتار پیمانکاران رفع سد معبر شهرداری، با یک شهروند، کاسب یا دستفروش را در نظر بگیرید. انتشار خبر و تصاویر آن، روی افکار عمومی اثر می گذارد. این اتفاق باعث می شود، شهرداری به عنوان مسئول اصلی، توسط جامعه و نهادهای مسئول مورد پرسش قرار بگیرد. این در حالی است که شهرداری، کارفرما بوده و کسانی که باعث حادثه شده اند، از کارکنان مستقیم و اصلی شهرداری نمی باشند.

توجه داشته باشید، نکته این نیست که سازمان اصلی، در اینجا شهرداری، مسئول هست یا نیست؟ نکته اصلی این است که عملکرد ذینفعان اعم از پیمانکار، تأمین کننده، فروشنده و . . . بر روی شرکت و سازمان اصلی، اثرگذار است و از آن گریزی نیست.

چند مثال دیگر را ببینید.

1. وابستگی زیاد به پیمانکاران

در صنایعی مانند نفت، گاز، پتروشیمی، معدن، فولاد، شهرداری ها، بانکداری یا فن آوری اطلاعات IT بسیاری از فعالیت‌ها برون‌سپاری شده است. بارها مشاهده می شود که حوادث عملیاتی در پروژه‌های شهری و صنعتی یا عملکرد ضعیف پیمانکار می‌تواند منجر به تأخیر در پروژه، هزینه‌های اضافه، حوادث ایمنی و زیست محیطی HSE یا توقف عملیات شود. همه این ها، سازمانی که پروژه های خود را به پیمانکار داده است تحت تأثیر قرار می دهد.

2. ریسک سایبری

شرکت ها اغلب با پیمانکاران IT، نرم‌افزار و دیتاسنتر همکاری می کنند. کوچک ترین ضعف امنیتی در طرف سوم می تواند باعث مواردی چون افشای اطلاعات، حملات سایبری یا اختلال در سیستم ها و سامانه های حیاتی شرکت بشود.

3. ریسک های مالی و ریسک های حقوقی

ورشکستگی یا ناتوانی مالی طرف سوم می تواند زنجیره تأمین را مختل کند. این مورد، موضوعی است که در سال های اخیر هنگام نوسان های اقتصادی، بیشتر مشاهده می شود.

4. شهرت و اعتبار سازمان

همان طور که در بالاتر گفتم، در بسیاری مواقع، مردم بین سازمان اصلی و پیمانکار، تفاوتی قائل نیستند. اگر سیستم های رایانه ای بانک از کار بیفتند یا کار تمیز کردن و پاک‌سازی خیابان ها و محله های شهر به صورتی ضعیف انجام شود، نام، اعتبار و خوشنامی (برند) سازمان، آسیب می بیند، هر چند که پیمانکار مقصر باشد.

در موردی دیگر، حمله سایبری به سایت هایی با کاربری خاص رخ داد که از طریق پیمانکار صورت گرفت و یک سازمان دولتی به دلیل ای میل آلوده پیمانکار پشتیبانی نرم‌افزار، دچار حمله سایبری شد. مشکل اصلی این بود که پیمانکار سیستم یا استاندارد امنیتی برای داده ها و سامانه های خود نداشت. یا اگر دارای سیستم های امنیتی بود، کارآمد و موثر نبودند.

ضعف سیستم های مدیریت ایمنی شغلی یک پیمانکار را در نظر بگیرید. یک پیمانکار در پروژه عمرانی، سیستم نظارتی ایمنی شغلی را اجرا و پیاده سازی نکرده است. به کارکنان خود آموزش های ایمنی را نداده یا تجهیزات حفاظت فردی برای پرسنل خود تهیه نکرده است. در چنین شرایط مخاطره آمیزی اگر حادثه ای مانند سقوط یا ریزش رخ دهد و افرادی، سلامتی یا جان خود را از دست بدهند، به احتمال زیاد پرونده حقوقی برای سازمان اصلی تشکیل خواهد شد.

مدیریت ریسک شخص ثالث

مدیریت ریسک شخص ثالث، مجموعه ای از فرآیندها می باشد که سازمان برای شناسایی، ارزیابی، کنترل و پایش ریسک های ناشی از همکاری با طرف های بیرونی، انجام می دهد. این فرآیند، فعالیت ها و تعاملات سازمان با ذینفعان خود را مد نظر قرار می دهد. مدیریت ریسک شخص ثالث به دنبال پیدا کردن پاسخ سوال هایی مانند موارد زیر می باشد.

• شخص ثالث / طرف سوم چه قدر قابل اعتماد است؟
• وضعیت مالی و حقوقی او چگونه است؟
• از نظر امنیت اطلاعات چه قدر بلوغ دارد؟
• عملکرد عملیاتی و ایمنی / بهداشت / محیط زیست HSE او در چه سطحی است؟
• آیا این رابطه می تواند شهرت یا فعالیت اصلی سازمان را تهدید کند؟

در این مطلب کوتاه، اهمیت مدیریت ریسک طرف های ثالث / شخص سوم را بررسی کردیم و در انتها مفهوم آن را به صورت خلاصه مشاهده کردیم. در فرصتی دیگر در خصوص TPRM بیشتر خواهم گفت و نحوه اجرای آن را دقیق تر بیان خواهم کرد.