THIRD PARTY RISK MANAGEMENT CONTINUOUS MONITORING

L’obiettivo primario delle divisioni di procurement è di garantire che l'approvvigionamento avvenga senza intoppi, utilizzando procedure e controlli per garantire di ottenere gli articoli giusti al momento giusto e con condizioni accettabili e qualità concordata.

Nel contesto odierno che viviamo, con l'escalation delle misure di contenimento della pandemia di COVID-19, la comprensione delle operazioni e dei controlli dei fornitori può essere un compito arduo. Le divisioni di Procurement delle organizzazioni hanno dovuto affrontare cambiamenti senza precedenti nella catena di fornitura. 

Non solo i fornitori esistenti stanno adeguando il modo in cui operano e assegnano le priorità, rendendo potenzialmente obsolete la precedente valutazione del rischio associato, ma vi è la necessità di inserire ed integrare “rapidamente” nuovi fornitori, per colmare le eventuali lacune della catena di approvvigionamento, identificando potenziali fornitori ridondanti al fine di aiutare a mantenere il flusso delle operazioni costante.

I tradizionali processi di garanzia di terze parti possono spesso essere troppo complicati per adattarsi alle mutevoli esigenze dell'azienda, lasciandoli aperti a rischi sconosciuti.

Per procedere alla scelta di un fornitore, da inserire all’interno della propria supply chain, è necessario porsi quali siano le sfide che devono affrontare i fornitori e porsi alcune domande:

• “I modelli operativi adottati dai singoli fornitori stanno cambiando per adattarsi alla pandemia? In caso affermativo vengono accettati dei compromessi in termini di rischi associati che potrebbero influire sulla continuità di business proprie e di terzi?”
• “I fornitori stanno affrontando sfide in termini di flusso di cassa e resilienza finanziaria che possono influire sul personale e/o sulla redditività a lungo termine?”
• Qual è l'impatto che sarà necessario gestire se i fornitori non rispettano gli accordi sul livello di servizio (SLA) o falliscono completamente?
• Sono necessarie revisioni della precedente valutazione del rischio dei fornitori alla luce delle sollecitazioni del COVID-19 sulla catena di fornitura e della mutevole dipendenza aziendale da fornitori nuovi ed esistenti?
• Quali sono le aspettative del regolatore in merito alle attività di garanzia di due diligence durante il periodo di pandemia?

COS’È IL RISCHIO DELLE TERZE PARTI

Quando la catena di fornitura viene interrotta, o le terze parti non sono in grado di fornire, possono verificarsi impatti devastanti e di lunga durata per le organizzazioni che utilizzano beni e servizi fornite da terze parti. È necessario procedere ad una valutazione del rischio delle terze parti attraverso un approccio ed una «valutazione integrata ed estesa» dei diversi rischi associati, in modo da rendere la valutazione stessa “automatica”, “continua” e “completa” sfruttando tutte le informazioni disponibili ed accessibili da parte delle organizzazioni sintetizzate in una visione univoca ed olistica.

Framework dei Rischi di terze parti

Il rischio delle terze parti deriva dalla riduzione del controllo diretto delle organizzazioni sulle proprie attività aziendali per effetto di una serie di sotto rischi che possono essere suddivisi nelle seguenti tipologie.

SAS CONTINUOUS MONITORING DEL RISCHIO DI TERZE PARTI

La soluzione SAS si pone l’obiettivo di implementare una soluzione tecnologica che sia in grado di implementare una metodologia consolidata calcolando i diversi KRI sulle terze parti mediante l’utilizzo e l’integrazione delle diverse fonti informative, attivando un processo di «monitoraggio continuo delle Terze Parti» sui diversi indicatori e di attivare eventuali allarmi sulla base di variazioni significative attraverso l'utilizzo di un approccio "ibrido" che utilizza tecniche analitiche avanzate, basati su motori di machine learning e regole business di tipo deterministico. Il livello di sensibilità e di sensitività di tale approccio può essere determinato e definito dalla singola organizzazione sulla base sul proprio processo operativo di business e di interazione con le Terze Parti. 

Il blocco principale della soluzione si basa sul motore analitico SAS (Analytics Engine). Il motore analitico è costituito dai due sottosistemi Data Fusion & KRI Engine, i quali si occupano rispettivamente dell’orchestrazione, integrazione intelligente dei dati provenienti dai diversi flussi informativi e del calcolo dei KRI corrispondenti.

Successivamente la soluzione consente di distribuire e monitorare I KRI calcolati attraverso le funzionalità della piattaforma di Continuous Monitoring di SAS, in grado di gestire sia funzionalità Alerting automatico e sia funzionalità di reporting ed analisi per gli utenti finali.

La soluzione consente un:

• Accesso continuo a molteplici fonti informative per il calcolo dei Key Risk Indicator (KRI)
• valorizzazione e pubblicazione degli stessi per entità e supply chain in unica Dashboard
• Analisi delle relazioni tra gli stakeholders mediante Link Analysis finalizzato ad individuare eventuali criticità
• Analisi delle situazioni «anomale» (e.g.: alto rischio, trend negativi, indagini specifiche), attraverso strumenti di Visual Analytics
• Implementazione ed elaborazione di modelli predittivi per la rilevazione anticipata di situazioni critiche
• Valutazione continua e automatizzata del livello di rischio di entità e supply chain
• Individuazione legami non evidenti/ovvi mediante l’integrazione di dati esterni ed interni utilizzando approcci e tecniche di Network Link Analysis.