Forsyningskædesikkerhed og Third Party Risk Management er uundgåelige emner for organisationer i EU. Med skærpede regulativer som NIS2, GDPR og CSRD, der stiller øgede krav til organisationers styring af data og sikkerhed, er det ikke længere nok kun at have styr på egen drift; man skal også kende og styre risiciene ved at samarbejde med tredjeparter.
Hvad er Third Party Risk Management?
Third Party Risk Management er en integreret del af organisationens overordnede risikostyringsstrategi og fokuserer på at identificere, vurdere og styre de risici, der er forbundet med at indgå i forretningsrelationer med tredjeparter. Det inkluderer leverandører, distributører, underleverandører, serviceudbydere, partnere og andre eksterne aktører, der har adgang til organisationens data, systemer eller ressourcer.
Uden effektiv styring af tredjepartsrisici kan organisationen stå over for finansielle tab, juridiske komplikationer og skader på omdømmet. Derfor er det vigtigt at integrere forsyningskædesikkerhed i organisationens overordnede risikostyringsstrategi og sikre, at det er i tråd med virksomhedens forretningsmål og regulatoriske forpligtelser.
I en tid, hvor organisationer i stigende grad outsourcer funktioner, indgår i komplekse partnerskaber og er afhængige af en global forsyningskæde, er risikoen for uforudsete hændelser højere end nogensinde – og derfor er det vigtigt at have overblik over forsyningskædesikkerheden.
Ledelsens ansvar i forsyningskædesikkerhed
I lyset af NIS2-direktivet er ledelsens rolle i Third Party Risk Management blevet endnu mere kritisk. Direktivet kræver, at organisationens ledelse ikke blot er bekendt med, men også aktivt engageret i risikostyringsprocessen. Det indebærer et direkte ledelsesansvar for at identificere og håndtere cyberrisici, herunder de risici der kommer fra tredjeparter i forsyningskæden.
NIS2 forpligter ledelsen til at sikre, at organisationens cybersikkerhedsforanstaltninger er på plads og opdaterede, hvilket inkluderer due diligence af tredjeparters sikkerhedsprotokoller. Det er altså ikke længere tilstrækkeligt at fokusere på interne sikkerhedsforanstaltninger; ledelsen skal også sikre, at samarbejdspartnere lever op til de krav til cybersikkerhed og databeskyttelse, som direktivet fastlægger.
Dette skaber en synergi mellem NIS2 og Third Party Risk Management, hvor ledelsen ikke kun skal sikre overholdelse af direktivets krav internt, men også i hele forsyningskæden. Manglende overholdelse eller en svaghed hos en tredjepart kan have direkte konsekvenser for organisationens compliance status og dermed også for dens finansielle og omdømmemæssige risici, hvorfor det er vigtigt at kigge ind i og forstå omfanget af forsyningskædesikkerhed.
Kortlægning af processer
Effektiv Third Party Risk Management kræver en helhedsorienteret tilgang, der tager højde for en række forskellige faktorer, herunder regulatoriske krav i GDPR, NIS2 og CSRD.
Det første skridt er at identificere, dokumentere og analysere alle interaktioner med tredjeparter for på den måde at skabe et overblik. Formålet er at få en fuldstændig forståelse af, hvordan tredjeparter er integreret i organisationens værdikæde, og hvilke risici de potentielt kan introducere.
Kortlægningen skal tage højde for de regulatoriske krav, organisationen skal overholde – fx:
- GDPR: Der skal være styr på, hvordan persondata håndteres både internt og hos tredjeparter.
- NIS2: Organisationen skal vurdere cybersikkerhedsrisici både internt og hos alle samarbejdspartnere.
- CSRD: Bæredygtighedsrapportering skal ikke kun omfatte organisationens egen praksis, men også tredjeparters.
Ved at analysere interaktionerne i detaljer kan organisationen identificere områder, der kræver yderligere kontrol, due diligence eller overvågning og dermed proaktivt håndtere risici, før de bliver kritiske. For eksempel kan nedbrud hos en leverandør af kritiske IT-tjenester have betydelige konsekvenser for opretholdelsen af organisationens infrastruktur, hvorfor det er vigtigt at være proaktiv i form af en mitigerings- og incident management-plan.
Eksempler på risici i forsyningskæden
For at navigere sikkert i et komplekst forretningslandskab er det afgørende at forstå de potentielle risici, der kan opstå i forbindelse med tredjeparter. De kan variere betydeligt afhængigt af sektor, geografi og den specifikke karakter af det pågældende samarbejde, men nogle af de mest almindelige risici inkluderer:
- Cybersikkerhedsrisici: Et svagt sikkerhedssetup hos en tredjepart kan kompromittere organisationens data og systemer.
- Compliancerisici: Manglende overholdelse af lovgivning som GDPR eller NIS2 fra en tredjeparts side kan have juridiske konsekvenser for organisationen.
- Omdømmerisici: Uetisk eller uansvarlig adfærd fra en tredjepart kan falde tilbage på organisationen og skade omdømmet.
- Operationelle risici: Forsinkelser eller fejl i leverancer fra en tredjepart kan forstyrre organisationens drift og føre til tab af indtægter.
Forsyningskædesikkerhed: Sådan kommer du i gang med Third Party Risk Management
Med et solidt fundament for Third Party Risk Management og en forståelse af de regulatoriske krav til organisationen er næste skridt at dykke ned i, hvordan man konkret kommer i gang med at implementere en ny tredjepart i organisationen.
Overordnet kan implementeringen inddeles i 5 trin.
1) Due diligence af den nye tredjepart
Inden organisationen indgår et formelt samarbejde med en ny tredjepart, er det afgørende at udføre en omfattende due diligence-proces for at identificere de risici, den potentielle nye tredjepart kan medføre.
Due diligence inkluderer blandt andet:
- gennemgang af tredjepartens finansielle sundhed, herunder en analyse af regnskaber, kreditvurderinger og eventuelle tidligere juridiske stridigheder.
- forståelse for tredjepartens teknologiske infrastruktur og sikkerhedsprotokoller, herunder en vurdering af deres IT-sikkerhedsforanstaltninger, datahåndtering og evne til at beskytte følsomme oplysninger.
- indblik i tredjepartens overholdelse af relevante love og regler, eksempelvis GDPR, NIS2 og CSRD.
Ved at udføre en grundig due diligence kan organisationen opnå en holistisk forståelse af de potentielle risici og fordele, der er forbundet med at indgå i et samarbejde med en ny tredjepart; en afgørende forudsætning for at kunne træffe informerede beslutninger og minimere risici.
2) Indblik i virksomheden
Efter at have gennemført den indledende due diligence er næste skridt at få et dybere indblik i tredjepartens operationelle og teknologiske struktur. Dette skridt er afgørende for at forstå, hvordan en potentiel tredjepart vil integrere med organisationen på daglig basis.
Indblik i virksomheden inkluderer blandt andet:
- forståelse for tredjepartens kerneforretningsprocesser, herunder hvordan arbejdsflowet er struktureret, og hvordan kritiske operationelle funktioner som kvalitetskontrol, levering og kundeservice håndteres.
- forståelse for de teknologiske systemer og platforme, tredjeparten anvender, herunder om teknologien er kompatibel med organisationens egne systemer.
- indblik i interne kontrolmekanismer hos tredjeparten, herunder hvordan kvalitet, sikkerhed og compliance sikres.
Ved at få et grundigt indblik i tredjepartens operationelle og teknologiske landskab er det lettere at vurdere, hvordan virksomheden vil passe ind i organisationens værdikæde.
3) Krav til ændringer
Hvis det viser sig, at den potentielle tredjepart ikke lever op til organisationens standarder og forventninger, kan der være behov for afhjælpning. Det kan blandt andet indebære:
- teknologiske opgraderinger
- ændringer i processer
- omskoling af personale
Ved at adressere disse områder proaktivt kan du sikre, at eventuelle mangler eller svagheder hos den potentielle tredjepart bliver rettet op på, før de bliver en risiko for organisationen.
4) Godkendelse af samarbejde
Når alle afhjælpningsforanstaltninger er implementeret og verificeret, er det tid til at træffe en afgørende beslutning: Skal tredjeparten godkendes som en officiel samarbejdspartner? Dette er et kritisk øjeblik i Third Party Risk Management-processen, og det kræver en omfattende vurdering fra organisationens side.
Følgende faktorer bør overvejes:
- Er identificerede mangler og risici effektivt adresseret?
- Lever tredjeparten om til organisationens interne standarder og forventninger?
- Kræver godkendelsen sign-off fra andre afdelinger i organisationen?
Hvis tredjeparten godkendes, skal der udarbejdes en formel kontrakt, der detaljeret beskriver vilkårene for samarbejdet, inklusive forpligtelser, ansvarsområder og eventuelle sanktioner i tilfælde af manglende overholdelse.
LÆS OGSÅ: Contract management – få optimalt udbytte af kontrakterne
5) Kontinuerlig overvågning
Selv efter godkendelse er det afgørende at fortsætte med løbende overvågning af tredjepartens sikkerhedsprotokoller og generelle performance. Det sikrer, at de fortsat lever op til de aftalte standarder og tillader proaktiv håndtering af eventuelle nye risici.
En af de mest almindelige udfordringer i Third Party Risk Management er effektiv leverandørstyring og kontrol med tredjeparter. Det er derfor vigtigt at have klare retningslinjer og processer for, hvordan leverandørperformance måles, og hvad der sker, hvis de ikke lever op til forventningerne.
Her kan implementeringen af en dedikeret løsning til leverandørstyring og kontrakthåndtering være med til at skabe et solidt fundament for den kontinuerlige overvågning – især, hvis løsningen kan arbejde i harmoni med virksomhedens øvrige governance, risk management og compliance-indsatser.