Idag är vårt affärsklimat mer komplext och våra förväntade leveranser och framgång är högst beroende av externa parter och faktorer, såväl direkta som indirekta. I det avseendet är vi också beroende av tredjeparts affärspartners och det finns flera incitament att inkorporera tredjepartsrisker i riskhanteringsprocessen. En tredje part innebär risker för alla företag men möjligheten att implementera GRC-policys och kontrollmiljöer är svaret för efterlevnad av lagkrav.
Bolag är idag mer sårbara och i media kan man dagligen hitta exempel på företag och organisationer som har misslyckats. Allvarliga skador på varumärket och finansiella konsekvenser är inte ovanliga i dessa fall. Hos välkända varumärke där substantiella värden existerar tenderar marknaden och omgivningens dömande att fokuseras nedströms i värdekedjan.
Det är rekommenderat att ha en strategi kring vilka medel och metoder som finns för att utbilda och övervaka tredje part. Samtidigt är det i praktiken, på såväl global som lokal nivå, viktigt att hitta rätt grad av tillit, kontroll och rimlig garanti för att fortsatt hålla samma grad av efterlevnad. Befattningshavare har en nyckelroll för att sätta agendan, även så ledningsgrupper. De måste säkerställa att vardera lokal affärsenhet kan förse bästa möjliga tillsyn and reaktion som täcker uppskattning av risker, hantering av policy och tillhandahållningen av GRC-beskrivningar.
Slutsatsen är att dessa frågor behöver existera på företag och organisationers GRC-agenda från toppnivå ner till den lokala ledningsnivån. Detta behöver utföras med praktisk vägledning, tillräckligt stöd och de rätta verktygen.
Henrik Frössling
RiskMaturity