När finansinstitut och försäkringsbolag i Europa navigerar genom komplexiteten 2025 är riskhantering från tredje part (TPRM) en kritisk fokuspunkt.
Cyberresiliens och hållbarhet är de två övergripande strategiska målen för ”nästa evolution” av riskhantering för tredje part. Teknik och data, och kopplingen mellan dem, står i centrum för den transformativa resan - de flesta organisationer är överens om detta ömsesidiga beroende och behovet av att skapa ett integrerat ramverk för att hantera de otaliga risker de står inför. Med ökande tryck från verksamhet, teknik och regelverk måste organisationerna utveckla sina TPRM-strategier för att säkerställa motståndskraft och efterlevnad - inte bara för att minska sina egna risker, utan även för att undvika systemrisker för ekonomin i stort.
Vi har identifierat flera viktiga initiativ inom finanssektorn som visar på övergången till denna utvecklade strategi för riskhantering:
Genom att se tredjepartsrisker i ett bredare sammanhang, inom ramen för företagets riskhantering (ERM), kan organisationer förbättra sin förmåga att förutse och minska risker på ett effektivt sätt.
De finansinstitut som integrerar cyberresiliens och hållbarhet med redan befintliga riskbedömningar i ett enda holistiskt ramverk har en unik fördel genom att bryta ner silos, samtidigt som de hanterar nuvarande och kommande regelefterlevnad.
Dun & Bradstreets Sara de la Torre (Head of Financial Services and Insurance) och Jay DePaul (Chief Cybersecurity & Technology Risk Officer) diskuterade nyligen utmaningarna och möjligheterna för sektorn på ett webbinarium med UK Finance, och hur man uppnår ett integrerat ramverk för tredjepartsrisker för operativ motståndskraft och ESG.
En holistisk, sammankopplad strategi för hantering av tredjepartsrisker erbjuder många fördelar för finans- och försäkringsföretag. Genom att se tredjepartsrisker i ett bredare sammanhang, inom ramen för företagets riskhantering (ERM), kan organisationer förbättra sin förmåga att förutse och minska risker på ett effektivt sätt.
Ett enhetligt tillvägagångssätt ger en tydlig och heltäckande bild av riskerna i hela organisationen. Genom att bryta ner silos och aggregera data från flera avdelningar kan företag identifiera risker tidigare och vidta förebyggande åtgärder.
73% av organisationerna har upplevt betydande störningar som orsakats av en tredje part.
Även om fokus ur regleringssynpunkt till stor del ligger på leverantörer av tekniska tjänster i dag, gör en sammankopplad strategi det möjligt för organisationer inom finansiella tjänster att bygga upp motståndskraft i hela leveranskedjan. Att beakta detta bredare ekosystem är viktigt - enligt Marsh har 73% av organisationerna upplevt betydande störningar som orsakats av en tredje part, oavsett om det rör sig om dataintrång eller etiska överträdelser - och innebär att företagen bättre kan förutse störningar och minimera kaskadeffekter.
Genom att tillämpa detta sammankopplade tillvägagångssätt stärks leverantörsrelationerna, samarbetet främjas och den övergripande effektiviteten i riskhanteringsstrategierna förbättras. Det kan till och med bli en konkurrensfördel.
Trots sina fördelar är riskhanteringen för tredje part fortfarande full av utmaningar, särskilt när finansinstituten hanterar en allt större komplexitet. Under webbinariet ställde vi frågan ”Vilken är din största organisatoriska utmaning när det gäller riskhantering från tredje part?” och deltagarna svarade enligt följande:
Operativa silos och jurisdiktioner: Många organisationer arbetar fortfarande i silos, där olika avdelningar använder olika kriterier för att bedöma tredjepartsrisker. Denna fragmentering leder till inkonsekventa utvärderingar och ineffektivitet i riskhanteringen.
Datakvalitet och tillgänglighet: Dålig datakvalitet, särskilt när det gäller nya mätmetoder som ESG, utgör en betydande utmaning. Inkonsekventa eller ofullständiga data gör det svårt att göra korrekta riskbedömningar, och det saknas ofta samarbete med tredjepartsleverantörer för att förbättra dataramverken. På frågan: ”Anser du att du har rätt data för att stödja tredjepartsriskutmaningar?” under webbinariet ansåg 0% av deltagarna att de hade all data de behövde. De flesta hade en del data, men 20% ansåg att de inte hade någon relevant data för att hantera sina utmaningar idag.
Detta stöds av resultaten från vår senaste undersökning av finansinstitut i Europa, som visade att 64% har tvingats avvisa potentiella kunder och tredje parter på grund av bristande risköverblick och brist på relevanta data under de senaste 12 månaderna.
Manuella processer och resursbegränsningar: Många institut förlitar sig fortfarande på föråldrade, manuella system som t.ex. kalkylblad. Dessa metoder är arbetsintensiva, felbenägna och dåligt rustade för att hantera den växande volymen och komplexiteten i data.
Regulatoriska påtryckningar: Nya regelverk, t.ex. EU:s Digital Operational Resilience Act (DORA) och Economic Crime and Corporate Transparency Act (ECCTA), kräver att organisationer kan uppvisa en robust hantering av tredjepartsrisker. Dessutom utvidgar dessa bestämmelser ansvarsskyldigheten till ”fjärdepartsrisker”, eller risker som är förknippade med leverantörers leverantörer, vilket ytterligare komplicerar efterlevnadsarbetet. Befintliga regelverk (t.ex. kring penningtvätt) och den generellt snabba takten i regeländringar (inom finanssektorn har kraven ökat med cirka 35 % per år) ökar dock trycket på teamen att genomföra due diligence på flera tredje parter.
Konsolidera enhetliga interna och externa data för efterlevnad, tjänsteleverantörer, ESG, cyberrisk med mera i hela organisationen för att säkerställa transparens och spårbarhet.
Framväxande teknologier: Framväxten av generativ AI och andra avancerade tekniker medför ytterligare komplexitet. Finansinstitut måste navigera i frågor som acceptabel användning, datastyrning och transparens när det gäller AI-drivna verktyg och tjänster som används av tredjepartsleverantörer.
Hur innovativa organisationer förändrar sina strategier för hantering av tredjepartsrisker
Ledande organisationer använder sig av innovativa strategier för att omvandla sina metoder för hantering av tredjepartsrisker till proaktiva, möjlighetsdrivna processer.
Utnyttja ny teknik: Generativ AI, robotiserad processautomation (RPA) och avancerade riskplattformar används för att effektivisera manuella processer, förbättra datakvaliteten och öka skalbarheten. Realtidsövervakning gör det möjligt för organisationer att tidigt identifiera risker, t.ex. dataintrång eller sårbarheter hos leverantörer.
Digitala valutor och blockkedjor kan ge spårbarhet, särskilt när det gäller ESG-krav och spårning av varutransporter. Slutligen gör enhetliga dataplattformar, som Databricks, det möjligt för organisationer att centralisera och harmonisera data från flera källor till en enda bild av tredje parter (och deras associerade risker) i hela företaget, samtidigt som de stöder övervakning och riskbedömningar i realtid.
Även om robusta ramverk för styrning är avgörande för att hantera dessa nya tekniker är det viktigt att se till att verktygen används på ett ansvarsfullt sätt och att man gör en due diligence av de företag som tillhandahåller dem.
Dynamiska och skräddarsydda riskbedömningar: Organisationer rör sig bort från statiska, checklistor sombaserar bedömningar till kontinuerlig, adaptiv riskhantering. Detta tillvägagångssätt återspeglar den snabbt föränderliga karaktären hos leverantörsrelationer och externa risker. I stället för att tillämpa en metod som passar alla leverantörer tillämpar innovativa organisationer differentierade riskbedömningar och prioriterar leverantörer baserat på deras tillgång till kritiska system och data eller hur viktig den tjänst de tillhandahåller är för den dagliga verksamheten. Detta säkerställer att resurserna fördelas effektivt och kan stödjas med data från tredje part och automatiserade arbetsflöden - till exempel för screening.
Samarbetsbaserad motståndskraft: Vissa, särskilt de större finansinstituten, arbetar för att förbättra styrkan i sina bredare ekosystem, inklusive mindre leverantörer och små och medelstora företag. Genom att ställa upp tydliga förväntningar på leverantörerna och se till att de följer höga standarder för miljö, sociala frågor och styrning samt cyberresiliens skapar de en gemensam motståndskraft. Leverantörerna bör åläggas att visa sitt fortlöpande engagemang för ESG-principer och teknisk säkerhet, inklusive transparens i rapporteringen och ansvar för sin miljöpåverkan. Det är en resa, inte en destination. Organisationer bör fokusera på kontinuerlig förbättring, uppmuntra leverantörer att anta bästa praxis och arbeta tillsammans för att uppnå långsiktiga hållbarhetsmål.
För att effektivt integrera ESG i riskhanteringen för tredje part bör finansinstitut och försäkringsbolag följa dessa viktiga rekommendationer:
Genom att följa dessa rekommendationer kan organisationer framgångsrikt integrera ESG i sina riskhanteringsstrategier för tredje part, vilket främjar både hållbarhet och motståndskraft.
När finansinstitut och försäkringsbolag går in i 2025 är det viktigt att anta en holistisk, sammankopplad strategi för hantering av tredjepartsrisker. Genom att integrera ESG-överväganden och cyber uthållighet, utnyttja ny teknik och främja samarbete i hela leveranskedjan kan organisationer förbättra sin motståndskraft, säkerställa efterlevnad, bygga upp ett mänskligt partnerskap med partners som kan driva samskapande och skapa långsiktigt värde. Framtiden för riskhantering från tredje part ligger i ständiga förbättringar, transparens och innovation - grundläggande faktorer som hjälper organisationer att ligga steget före i en alltmer komplex och dynamisk riskmiljö.
För att se webbinariet och höra diskussionen i sin helhet, klicka på knappen nedan:
The information provided in articles are suggestions only and based on best practices. Dun & Bradstreet is not liable for the outcome or results of specific programs or tactics undertaken based on your use of the information. Please contact an attorney or financial/tax professional if you are in need of legal or financial/tax advice.