Tredje-parts-risken (eller på nysvenska "Third-party-risk") är just nu vid sidan om cyber-risken det enskilt hetaste ämnet inom riskhantering upplever jag. Säkert hälften av mina kunder känner en stor oro över sin exponering mot framför allt leverantörer. Denna oro finns inte bara inom de operativa enheterna som inköp och kvalité utan sprider sig också bland ledningsgrupper och styrelser. Risken växer med ökande internationalisering och globalisering med leverantörer från världens alla hörn. Diskussionerna jag möter och lyssnar på visar att det råder både osäkerhet kring ämnets kritikalitet, och missförstånd kring vad som egentligen ingår i risken. Diskussionerna handlar alltså båda om att få grepp om riskens innebörd och definition.
I motsats till vissa uppfattningar ingår inte organisationens alla affärspartners i definitionen "Tredje part" utan enligt dagens allmänna uppfattning i riskhanteringskretsarna enbart leverantörer (vendors/suppliers) vilket med rätt kan uppfattas vara missledande. Särskilt kunderna som en viktig tredje part menas därför idag oftast inte när ämnet tas upp. Därför går det rätt bra att på ren svenska beteckna ämnet som "leverantörsrisken". Tredje-parts-risk är en buzz-word och låter utan tvivel mer dramatiskt.
Utgångspunkten i att överhuvudtaget diskutera ämnet är i många fall en rädsla för att leverantören inte sköter sig när det gäller att följa lagar och regler vilket sedan kan slå mot en själv som deras kund. Den problematiken kategoriseras inom Compliance i en bred bemärkelse. Störst rädsla råder enligt min erfarenhet när det handlar om korruptions- eller anti-trust relaterade brott. VD:n och styrelser är ofta rädda framför allt för den juridiska aspekten i detta. Men TP-risken är större än så eftersom det finns andra riskområden som har stor operativ eller strategisk betydelse; exempelvis plötsligt bortfall av en för leverantörskedjan kritisk leverantör, eller virusangrepp i datasystem via en leverantör som har access till gemensamma system (apropå cyber-risk).
För att underlätta identifieringen av relevanta riskområden när det gäller TP-risken, kan man bland annat definiera följande kategorier:
- Efterlevnad av lagar och regler för t ex produktansvar, skatter, miljö, H&S, CR, anti-trust, anti-korruption, kvalité
- Finansiell risk, t ex förluster av egna tillgångar och investeringar i leverantören när leverantören går i konkurs
- Informationssäkerhet, t ex bristande sekretesshantering, dataintrång och virusattacker via leverantörens osäkra nätverk
- Avbrottsrisk, t ex plötsligt bortfall pga naturkatastrof, brand etc.
- Strategisk risk, t ex pga single source, unik innovationsförmåga och kvalité
- Reputationsrisk, dvs. risken för att bli ihopkopplad med leverantörens agerande eller situation i media etc.
Kategorierna ovan kan överlappa varandra men är säkert en bra början för att avgränsa vilken enskild problematik gäller vilken leverantör främst. Då blir det i nästa steg lättare att i leverantörsdatabasen markera de kritiska leverantörerna och definiera lämpliga handlingsplaner som adresserar både riskförebyggande och konsekvensbegränsande åtgärder.
Strategierna i att motverka TP-risken varierar förstås beroende på vilken riskkategori enligt ovan man vill komma åt. Min erfarenhet visar dock att löpande insyn i och regelbunden övervakning av de kritiska leverantörerna och deras dagliga verksamhet oftast är nyckeln till framgångsrik hantering av TP-risken. I de flesta fallen måste möjligheten och rätten till denna insyn säkras i själva leverantörskontraktet. Där borde också ställas konkreta krav på minimistandards vad gäller riskhantering (t ex försäkringar), den löpande interna kontrollen i verksamheten (inklusive kvalitetsarbete), och utformningen av business continuity plans.
Det är säkert klokt att med jämna mellanrum se över sin exponering mot sina leverantörer eftersom deras strategiska och operativa betydelse kan variera över tiden, både till större och mindre risk. En del jobbar redan med systematisk "Supply chain risk management". Databaser och verktyg underlättar att markera leverantörer med "red flags" från ett riskperspektiv och dess uppföljning. Det är dags att fler följa efter!