Le relazioni con le terze parti sono destinate ad essere sempre più cruciali nel 2024, considerando i rischi di violazioni dei dati, le pressioni sulle supply chain delle varie crisi geopolitiche, geoeconomiche e così via. Pertanto, diventa fondamentale per i team di TPRM – third party risk management essere in grado di affrontare i rischi più significativi anche con il supporto di cruscotti intelligenti.
Third party risk management, i trend 2024
La gestione del rischio di terze parti (Third Part Risk Management – TPRM) non è un’attività semplice o statica. Si tratta di un processo complesso e dinamico che coinvolge più stakeholder, processi e strumenti. Inoltre, il TPRM è influenzato da vari fattori, come la natura e l’ambito della relazione, il livello di dipendenza e integrazione, il tipo e la sensibilità dei dati e delle informazioni coinvolte, nonché gli standard normativi e di settore e le migliori pratiche. Ancora, tale processo è soggetto a continui cambiamenti e sfide, come l’emergere di nuove tecnologie, mercati, normative, minacce e opportunità.
Pertanto, IL TPRM richiede un approccio proattivo e strategico in grado di adattarsi al mutevole contesto aziendale e anticipare le tendenze e le esigenze future che caratterizzeranno il 2024 e, precisamente:
- Rischio per la sicurezza informatica – Il rischio per la sicurezza informatica delle terze parti comporta un’eventuale esposizione alla confidenzialità, integrità o disponibilità dell’infrastruttura IT e dei dati a cui un’organizzazione è esposta a causa della relazione con venditori, fornitori o altri partner commerciali. Questo rischio sta diventando sempre più rilevante e sta guadagnando attenzione anche al di fuori dei team IT e di sicurezza, con un crescente coinvolgimento dei membri del consiglio di amministrazione. Le violazioni dei dati e gli incidenti informatici rappresentano rischi significativi per le catene di approvvigionamento, poiché i fornitori più piccoli potrebbero non avere le stesse capacità di sicurezza delle grandi aziende. È doveroso sottolineare che Il rischio per la sicurezza informatica delle terze parti non si limita solo alle violazioni dei dati, ma comprende anche gli attacchi alla catena di approvvigionamento del software che costituiscono una minaccia per migliaia di organizzazioni e possono consentire l’esecuzione di codice da remoto. Alcuni degli altri rischi per la sicurezza informatica da tenere in considerazione nel 2024 includono:
- Credenziali rubate: in molti casi, i criminali informatici non rubano direttamente i dati quando sfruttano gli account o le reti di posta elettronica di un’azienda. Invece, vendono nomi utente e password compromessi sul dark web per Bitcoin o un’altra criptovaluta. Secondo alcune stime, ci sono oltre 24 miliardi di credenziali rubate disponibili sul dark web. Il furto di credenziali riduce il rischio per i criminali informatici poiché possono monetizzare immediatamente i loro dati esfiltrati senza il lavoro di scassinare i singoli account. Per i gruppi che fungono da broker di accesso iniziale, l’esfiltrazione di nomi utente e password è il modo in cui guadagnano.
- Accesso IT virtuale: le organizzazioni spesso forniscono ai fornitori l’accesso a determinati sistemi per facilitare i servizi o le transazioni. Questo è comune non solo per i fornitori di servizi gestiti e altri outsourcer di processi aziendali, ma anche per i fornitori che desiderano utilizzare il sistema di contabilità fornitori per inviare le fatture. È anche uno dei punti di ingresso più desiderabili per gli attori delle minacce ed è probabilmente alla base di un recente aumento degli attacchi contro i fornitori di servizi gestiti.
- Complessità normativa e di conformità: secondo un recente studio di Prevalent, il 60% delle organizzazioni deve affrontare un maggiore controllo normativo. Numerosi requisiti di conformità affrontano i rischi per la sicurezza informatica di terze parti. Normative come il GDPR creano controlli diretti su come le organizzazioni possono condividere i dati o fornire l’accesso ai dati a terzi. La mancata comprensione e il mancato rispetto dei requisiti di conformità possono causare enormi problemi legali, normativi e di pubbliche relazioni per le organizzazioni.
Third party risk management: cosa devono fare le aziende nel 2024
Pertanto, a fronte di quanto sopra, nel 2024, le organizzazioni saranno costrette a adottare sempre più misure per mitigare i rischi per la sicurezza informatica legati alle terze parti. Ciò implica una revisione dell’accesso dei fornitori ai sistemi aziendali e la limitazione dell’accesso solo a ciò che è strettamente necessario, seguendo il principio del privilegio minimo. Inoltre, le aziende dovrebbero valutare il rischio di esposizione dei fornitori attraverso un’analisi approfondita dei loro asset esposti su Internet e comprendere le politiche di sicurezza dei fornitori e il livello di sicurezza dei dati critici condivisi.
Di fatto, è quanto mai essenziale che le organizzazioni allineino le proprie esigenze di conformità normativa con quelle dei propri fornitori, garantendo il rispetto delle normative applicabili. Monitorare le normative e condurre le valutazioni del rischio dei fornitori con soluzioni presenti sul mercato che possono aiutare a comprendere il livello di rischio associato a ciascun fornitore.
I rischi
Data la persistenza degli incidenti di sicurezza delle terze parti, una valutazione completa dei rischi per la sicurezza informatica nella catena di approvvigionamento diventa sempre più critica.
- Rischio reputazionale – Sanzioni e perdite di ricavi possono derivare da comportamenti etici discutibili, violazioni legali o normative, collaborazioni con entità sanzionate o coinvolgimento con governi sospettati di sponsorizzare il terrorismo o corruzione. Anche notizie negative, copertura mediatica sfavorevole e disastri ambientali possono costituire rischi reputazionali. Pertanto, il monitoraggio e la gestione dei rischi reputazionali possono essere complessi, ma la reputazione del marchio è diventata un fattore sempre più importante per il successo aziendale. È fondamentale prestare attenzione a questi rischi e adottare misure per mitigarli. Pertanto, per mitigare i rischi reputazionali, le organizzazioni devono effettuare un pre-screening completo dei partner della catena di approvvigionamento, valutare regolarmente le best practice e le normative del settore. Inoltre, è fondamentale monitorare continuamente la reputazione dei fornitori e considerare le relazioni con le terze parti per comprendere le dipendenze e i rischi associati.
- Rischio di continuità operativa – I rischi associati alla catena di approvvigionamento possono compromettere la continuità aziendale in diverse forme. Ad esempio, il fallimento finanziario di un fornitore chiave può causare interruzioni nei contratti. Le fusioni e acquisizioni possono influire sui servizi, i prezzi e i termini contrattuali. Il turnover della leadership o i problemi legali possono avere un impatto sulla cultura aziendale, sulla strategia e sulla capacità di raggiungere gli obiettivi. È fondamentale condurre una valutazione accurata dei potenziali fornitori, considerando la loro situazione finanziaria, gli obblighi contrattuali e altri fattori che possono influenzare la loro capacità di adempiere ai contratti. Un’attenta due diligence prima di impegnarsi con un fornitore riduce il rischio di interruzioni significative delle attività aziendali. Inoltre, per gestire efficacemente questi rischi, è consigliabile implementare un piano formale e documentato di resilienza e continuità aziendale per le terze parti coinvolte nella catena di approvvigionamento. I fornitori dovrebbero essere valutati in modo uniforme utilizzando metriche predefinite, al fine di facilitare il confronto e l’identificazione di potenziali fornitori che potrebbero incontrare difficoltà nell’adempiere ai loro obblighi contrattuali.
- Rischi per la sicurezza e l’affidabilità – La sicurezza e l’affidabilità sono due aspetti cruciali nella gestione del rischio, poiché riguardano la prevenzione e la mitigazione di potenziali pericoli e guasti che possono influire sulle prestazioni, la qualità o la funzionalità di un prodotto, sistema o processo. La sicurezza si concentra sulla protezione delle persone, della proprietà e dell’ambiente dai danni, mentre l’affidabilità si riferisce alla probabilità che un prodotto, sistema o processo svolga la sua funzione prevista in determinate condizioni e per un certo periodo di tempo. La sicurezza e l’affidabilità possono essere considerate come una categoria di rischio quando si valutano le possibili conseguenze e la probabilità di eventi avversi causati da guasti, errori, difetti o malfunzionamenti. Questi rischi possono avere un impatto significativo sulla soddisfazione del cliente, sulla reputazione, sulla conformità e sulla redditività di un’organizzazione. Pertanto, è fondamentale identificare, valutare e gestire i rischi per la sicurezza e l’affidabilità lungo l’intero ciclo di vita del prodotto, dalla progettazione all’utilizzo e allo smaltimento. Gli standard come ISO 13849-1 e IEC 61508 forniscono un quadro di riferimento per la gestione dei rischi per la sicurezza e l’affidabilità. Essi definiscono categorie di sicurezza, livelli di prestazione e livelli di integrità della sicurezza basati sulla probabilità di guasti pericolosi e sulla copertura diagnostica del sistema.
I rischi ESG
Nel contesto della gestione del rischio delle terze parti, è importante porre domande sulle pratiche di sicurezza e sui programmi di manutenzione dei fornitori chiave. Questo è particolarmente rilevante in settori come la manifattura e l’estrazione delle risorse, dove la sicurezza e l’affidabilità dei macchinari sono fattori critici. Di fatto, la comprensione di queste pratiche tra i fornitori può aiutare le organizzazioni a sviluppare piani di emergenza e mitigazione nel caso in cui si verifichi un evento di sicurezza o affidabilità che potrebbe causare interruzioni nella catena di approvvigionamento.
- Rischio ambientale, sociale e di governance (i.e. ESG) – Questi riguardano una vasta gamma di comportamenti aziendali e possono essere difficili da individuare fino a quando non diventano notizie di rilievo. Questa categoria di rischio comprende:
- Ambiente – misure e report sulle politiche ambientali dell’organizzazione, inclusi cambiamenti climatici, gestione dei rifiuti, inquinamento, uso delle risorse e gas serra.
- Sociale – misure e report sulle politiche dell’organizzazione riguardo al trattamento delle persone, comprese le relazioni con dipendenti, clienti e partner, diritti umani, diversità e inclusione, lotta alla discriminazione, privacy, condizioni di lavoro e contributi alla società.
- Governance – misure e report sulla cultura e sui comportamenti dell’organizzazione in conformità con i suoi valori, inclusi aspetti finanziari, lotta alla corruzione, sicurezza, diversità del consiglio di amministrazione/esecutivo e trasparenza.
I rischi ESG stanno aumentando a causa del controllo crescente da parte delle autorità di regolamentazione, dei revisori e dei consumatori. Inoltre, è doveroso sottolineare che la mitigazione dei rischi ESG richiede un approccio olistico e proattivo. Integrare le revisioni ESG durante il processo di due diligence iniziale per i potenziali fornitori è un passo importante per identificare e valutare i potenziali rischi legati all’ambiente, al sociale e alla governance. Questo permette di prendere decisioni informate prima di firmare qualsiasi contratto.
Ancora, data l’attenzione crescente delle normative sui fattori ESG, è essenziale condurre una mappatura delle relazioni e un’analisi dei rischi di quarta e terza parte. Ne consegue che è necessario esaminare non solo i fornitori diretti, ma anche i loro fornitori e partner, per individuare eventuali potenziali problemi nella catena di approvvigionamento, in modo da individuare e mitigare potenziali problemi in termini di corruzione, lavoro minorile, sfruttamento dei lavoratori e altri impatti negativi.
Come prevenire i rischi ESG
Di fatto, attuare queste misure preventive può aiutare a prevenire situazioni che potrebbero offuscare la reputazione dell’organizzazione o causare danni finanziari e legali. Inoltre, dimostra un impegno verso la gestione responsabile e sostenibile della catena di approvvigionamento e può rafforzare la fiducia dei clienti, degli investitori e degli altri stakeholder. Si consiglia, pertanto, di considerare alcuni punti chiave per gestire efficacemente i rischi ESG durante l’approvvigionamento, quali:
- Iscrizione a una rete di informazioni sul rischio dei fornitori: per un rapido controllo del rischio ESG per i potenziali fornitori o per valutare i fornitori esistenti, le reti di informazioni sul rischio dei fornitori possono fornire report su richiesta basati su valutazioni complete e dati di monitoraggio esterni.
- Inclusione di domande ESG nelle valutazioni periodiche del rischio: per ottenere una visione personalizzata del rischio ESG dai fornitori esistenti, si può condurre una valutazione del rischio dei fornitori utilizzando questionari. Inoltre, le piattaforme di gestione del rischio dei fornitori possono aiutare a mappare automaticamente le risposte alle esigenze aziendali e alle normative di settore e governative.
- Aggiornamento costante sugli eventi ESG: i rischi ESG possono emergere in qualsiasi momento, quindi, è importante condurre un monitoraggio continuo dei rischi di terze parti all’interno del proprio ecosistema di fornitori. Le soluzioni di monitoraggio del rischio possono utilizzare migliaia di fonti per identificare eventi come notizie negative o violazioni della conformità che coinvolgono i fornitori. Si ritiene che nel 2024, i rischi ESG diventeranno ancora più acuti considerando che il cambiamento climatico rappresenta un rischio crescente a causa di eventi meteorologici estremi sempre più frequenti, e richiede un’analisi approfondita dei rischi ambientali, soprattutto per quanto riguarda la resilienza della catena di approvvigionamento. Inoltre, anche i rischi legati alla responsabilità sociale sono destinati ad aumentare. Ancora, le normative sulla schiavitù moderna e il lavoro minorile stanno diventando sempre più rigorose in tutto il mondo, con governi in Europa, Nord America e Asia Pacifico che prestano maggiore attenzione alle condizioni di lavoro nelle fabbriche globali. Le aziende, a fronte di sempre più consumatori che fanno scelte di acquisto basate su considerazioni sociali, dovranno esaminare attentamente le proprie politiche di responsabilità sociale d’impresa e mantenere i propri fornitori responsabili.
- Rischi di corruzione nei rapporti con terzi – Nel 2024, il rischio di tangenti e corruzione rappresenterà ancora una sfida significativa, con normative anticorruzione sempre più rigorose per le imprese locali e straniere. Le relazioni con terze parti rappresentano una delle esposizioni più significative al rischio di corruzione, considerando che tutte le terze parti che agiscono come agenti di un’azienda, come distributori, rappresentanti di vendita, consulenti, spedizionieri e lobbisti, possono esporre l’organizzazione a responsabilità per tangenti e corruzione. La direttiva dell’Unione europea sulla due diligence obbligatoria in materia di diritti umani, ambiente e buona governance richiederà una due diligence significativa per le organizzazioni che operano nei paesi dell’UE. Ne consegue che le aziende dovranno adottare misure preventive come la due diligence approfondita e il monitoraggio finanziario dei fornitori per mitigare questo rischio e garantire la conformità alle normative anticorruzione.
Quali soluzioni di TPRM cercano le organizzazioni
Le organizzazioni stanno cercando soluzioni di TPRM per gestire il rischio in modo olistico attraverso processi di valutazione del rischio (incluso il monitoraggio in tempo reale), flussi di lavoro di risposta e azioni automatizzate che siano in grado di supportare le seguenti attività:
- Identificazione: determinare quali domini di rischio sono rilevanti per una terza parte e in che misura.
- Analisi: valutare l’impatto potenziale sui fornitori di un cliente e fornire un riepilogo dell’impatto.
- Gestione: fornire funzionalità per supportare gli sforzi di gestione del rischio attraverso piani d’azione misurabili, registri dei rischi, rimedi e decisioni.
- Monitoraggio: fornire visibilità sugli eventi di rischio attraverso dashboard, report, mappe, avvisi e notifiche.
- Apprendimento: applicare il Machine Learning (ML) e l’Intelligenza Artificiale (IA) per automatizzare la valutazione e l’analisi, e ottimizzare le raccomandazioni future e l’analisi dell’impatto.
Interessante notare come la necessità di soluzioni di TPRM sta portando a una crescita significativa del mercato, con un tasso di crescita annuale composto (CAGR) stimato del 18,6% fino al 2027.
Di fatto, le organizzazioni devono gestire progressivamente il rischio delle terze parti lungo l’intero ciclo di vita della relazione, non solo durante la fase iniziale di “certificazione”, implementando requisiti di monitoraggio che consentono loro di rispondere dinamicamente agli eventi di rischio e di rimanere conformi alle politiche interne e alle normative esterne.
Di seguito i domini di rischio più diffusi e riportati da Gartner:
- Capacità – carenza di risorse a causa di conflitti.
- Conformità – nuove normative e politiche governative, soprattutto per quanto riguarda asset critici o organizzazioni che gestiscono dati personali.
- ESG e sostenibilità – aumento della regolamentazione.
- Rischio finanziario – aumento della volatilità dei mercati.
- Operativo e performance – consapevolezza dell’importanza dei fornitori e dei fornitori IT per le aziende.
- Monitoraggio e mappatura degli eventi di rischio – aumento delle tensioni geopolitiche e degli eventi meteorologici estremi.
- Sicurezza/cybersecurity – numero crescente e della sofisticazione degli attacchi informatici.
TPRM, le soluzioni sul mercato: quale scegliere
Il mercato delle soluzioni di gestione dei rischi delle terze parti (TPRM) offre tecnologie per identificare, valutare, gestire, monitorare e segnalare i rischi associati a fornitori, distributori, agenti, partner o altre parti esterne all’organizzazione. Le soluzioni in questo mercato sono in grado di supportare una serie di flussi di lavoro TPRM in diversi ambiti di rischio per rispondere alle esigenze di una vasta gamma di clienti e ambiti di rischio, tra cui conformità, approvvigionamento, gestione della catena di fornitura, gestione dei fornitori IT, sicurezza e altri team che lavorano con o governano le terze parti.
Il mercato delle soluzioni di TPRM offre tecnologie per gestire i rischi delle terze parti, supportando una varietà di flussi di lavoro in diversi ambiti di rischio. Le soluzioni si adattano alle esigenze di clienti e settori diversi, fornendo integrazioni a dati e informazioni specifiche dell’ambito di rischio.
Di fatto, il mercato delle soluzioni TPRM è un complesso insieme di soluzioni che servono molti team con esigenze diverse all’interno dell’azienda. Le categorie di fornitori di soluzioni all’interno di questo mercato più ampio includono strumenti di gestione dei rischi delle terze parti, fornitori di dati e informazioni specifiche dell’ambito di rischio e scambi e mercati di rischio (vedi Figura sotto riportata).
Gartner illustra le tre specializzazioni di rischio basate sul ruolo dell’acquirente previsto e sui domini di rischio rilevanti per il loro ruolo. Ogni ruolo si concentra su diversi domini di rischio e ha diverse esigenze in termini di analisi, conoscenza e automazione. DI fatto, un singolo strumento di gestione dei rischi delle terze parti potrebbe non essere in grado di soddisfare i requisiti specifici di tutti le funzioni; pertanto, Gartner osserva che possono esistere più sistemi all’interno delle organizzazioni. Vediamo di che si tratta.
Supply Chain – Questa funzione si concentra sull’approvvigionamento diretto e sulla gestione dei fornitori utilizzati come input per creare beni finiti e servizi venduti ai clienti. La gestione del rischio della supply chain mira a rendere le organizzazioni acquirenti più resilienti evitando, assorbendo e riprendendosi dalle interruzioni della supply chain. Questi team valutano e monitorano una varietà di domini di rischio, tra cui eventi di interruzione della supply chain, solidità finanziaria dei fornitori, monitoraggio della cybersecurity, ESG, capacità e performance, per garantire la disponibilità delle forniture.
Figura Gartner: Soluzioni di gestione dei rischi delle terze parti per i leader della supply chain.
Information Technology – Questa funzione si concentra sull’approvvigionamento indiretto e sulla gestione dei fornitori relativi principalmente ai fornitori, ma anche ad altre terze parti con accesso o controllo su asset informativi. Di conseguenza, i domini di rischio tipicamente considerati includono corruzione, privacy dei dati, ESG, finanziario, geografico, operativo, performance, conformità normativa, sicurezza/cyber e strategia dei fornitori. Solitamente si presta grande attenzione alla sicurezza/cybersecurity, alla privacy, alla conformità normativa e si sta aumentando l’attenzione sui rischi operativi/continuità.
Figura Gartner: Soluzioni di gestione dei rischi delle terze parti per i leader dell’IT.
Legal & Compliance: Queste funzioni si occupano principalmente del rischio delle terze parti dal punto di vista della conformità normativa, collaborando tipicamente con altri responsabili all’interno dell’organizzazione nei domini di rischio rilevanti per la loro organizzazione. Di solito si pone un’attenzione particolare sui domini di rischio legati alla concorrenza, alla corruzione, alla conformità aziendale e alla conformità normativa.
Figura Gartner: Soluzioni di gestione dei rischi delle terze parti per i leader delle funzioni Legal & Compliance
Di seguito si indicano – in modo non esaustivo e in ordine alfabetico – alcuni dei principali vendor di soluzioni di TPRM.
Conclusione
Le aziende si trovano di fronte a un contesto di rischio di terze parti sempre più complesso. Nel 2024, il numero e la varietà dei rischi, come gli attacchi informatici, il rischio di continuità aziendale, i problemi di reputazione e altri, renderanno la gestione del business più impegnativa. È quindi fondamentale che sia le grandi che le piccole organizzazioni esaminino attentamente le proprie strategie di gestione dei rischi delle terze parti (TPRM) per il 2024, considerando la complessità del proprio ambiente di rischio e valutando l’impatto effettivo dei rischi descritti.
Inoltre, nel mondo degli affari odierno, fortemente interconnesso, sono sempre più necessarie le soluzioni di TPRM che si convertono in leve strategiche per gestire e ridurre i rischi associati alle relazioni con terze parti. Ovvero, strumenti automatizzati in grado di adottare un approccio basato sul rischio per identificare, valutare, monitorare e mitigare i rischi delle terze parti.
Le piattaforme di TPRM sono destinate a svolgere un ruolo fondamentale nella protezione delle risorse, nel mantenimento della reputazione e nell’assicurare la conformità normativa. Di fatto, l’adozione di un solido software o sistema di TPRM consente alle organizzazioni di valutare, monitorare e mitigare in modo proattivo i rischi legati alle loro relazioni con terze parti, sia durante l’onboarding che nel corso dell’intero ciclo di vita del coinvolgimento.
È importante dare priorità alle categorie di rischio in base alle strategie aziendali e prendere decisioni informate per concentrarsi sulla riduzione o mitigazione dei rischi che rappresentano la maggiore preoccupazione per le attività aziendali.
Concludendo, le diverse soluzioni di TPRM presenti sul mercato possono contribuire a individuare strategie mirate e personalizzate, integrando i principi di risk management, business continuity e cybersecurity.