Skuteczne zarządzanie ryzykiem outsourcingu i offshoringu

Transkrypt

Skuteczne zarządzanie ryzykiem
outsourcingu i offshoringu
Dla Professional Risk Managers’ International Association
Piotr Kaniewski
Marzec 2011
Agenda
1. Wprowadzenie
2. Oustourcing i Offshoring – definicja
3. Kluczowe czynniki inicjatyw O/O
4. Metody zarządzania ryzykami O/O
5. Cykl O/O
6. Ryzyka na poszczególnych etapach cyklu O/O i sposoby
zarządzania nimi
7. Podsumowanie
8. Czy Twoja organizacja skutecznie zarządza ryzykami O/O?
2
© 2011 Deloitte Polska
Wprowadzenie
W ubiegłych latach wiele przedsiębiorstw zwiększyło wykorzystanie oraz zależność od usług
outsourcingu i offshoringu (O/O). Taki układ powoduje zarówno ryzyka, jak i korzyści dla organizacji
korzystających z tego rodzaju usług.
Jednakże powodzenie inicjatyw outsourcingu i offshoringu nie musi opierać się na szczęściu. Istnieją
kroki, których podjęcie umożliwia ograniczanie ryzyk i maksymalizację korzyści na każdym etapie
cyklu O/O. Kroki te pozwalają na inteligentne zarządzanie ryzykami outsourcingu i offshoringu oraz
pomagają ograniczyć szansę doświadczenia niepożądanego rezultatu w trakcie inicjatyw O/O.
3
Podstawa prawna – outsourcing bankowy
Ustawa z dnia 29 sierpnia 1997 r. – Prawo bankowe:
Art. 6a
1. Bank może, w drodze umowy zawartej na piśmie, powierzyć przedsiębiorcy lub przedsiębiorcy zagranicznemu, z zastrzeżeniem art. 6d,
wykonywanie wyłącznie:
1) w imieniu i na rzecz banku pośrednictwa w zakresie czynności bankowych na podstawie umowy agencyjnej, polegającego na:
a) zawieraniu i zmianie umów rachunków bankowych, o których mowa w art. 49 ust. 1 pkt 3, według wzoru zatwierdzonego przez
bank,
b) zawieraniu i zmianie umów kredytu na sfinansowanie inwestycji mającej na celu zaspokojenie własnych potrzeb
mieszkaniowych kredytobiorcy w rozumieniu przepisów o podatku dochodowym od osób fizycznych,
c) zawieraniu i zmianie umów kredytu konsumenckiego w rozumieniu ustawy z dnia 20 lipca 2001 r. o kredycie konsumenckim (Dz.
U. Nr 100, poz. 1081 oraz z 2003 r. Nr 109, poz. 1030),
d) zawieraniu i zmianie umów ugody w sprawie spłaty kredytów, o których mowa w lit. b) i c),
e) zawieraniu i zmianie umów dotyczących ustanowienia prawnego zabezpieczenia kredytów, o których mowa w lit. b) i c),
f) zawieraniu i zmianie umów o kartę płatniczą, których stroną jest konsument w rozumieniu ustawy, o której mowa w lit. c),
g) przyjmowaniu wpłat, dokonywaniu wypłat oraz obsłudze czeków związanych z prowadzeniem rachunków bankowych przez ten
bank,
h) dokonywaniu wypłat i przyjmowaniu spłat udzielonych przez ten bank kredytów i pożyczek pieniężnych,
i) przyjmowaniu wpłat na rachunki bankowe prowadzone przez inne banki,
j) przyjmowaniu dyspozycji przeprowadzania bankowych rozliczeń pieniężnych związanych z prowadzeniem rachunków
bankowych przez ten bank,
k) wykonywaniu innych czynności, po uzyskaniu zezwolenia Komisji Nadzoru Finansowego,
2) czynności faktycznych związanych z działalnością bankową.
2. Powierzenie wykonywania czynności, o którym mowa w ust. 1, nie może obejmować:
1) zarządzania bankiem w rozumieniu art. 368 § 1 ustawy z dnia 15 września 2000 r. – Kodeks spółek handlowych (Dz. U. Nr 94, poz.
1037, z 2001 r. Nr 102, poz. 1117 oraz z 2003 r. Nr 49, poz. 408 i Nr 229, poz. 2276), zwanej dalej „Kodeksem spółek handlowych”,
oraz w rozumieniu art. 48 ustawy z dnia 16 września 1982 r. – Prawo spółdzielcze (Dz. U. z 2003 r. Nr 188, poz. 1848), zwanej dalej
„ustawą – Prawo spółdzielcze”, a w szczególności zarządzania ryzykiem związanym z prowadzeniem działalności bankowej, w
tym zarządzania aktywami i pasywami, dokonywania oceny zdolności kredytowej i analizy ryzyka kredytowego,
2) przeprowadzania audytu wewnętrznego banku.
3. Komisja Nadzoru Finansowego może udzielić bankowi zezwolenia, o którym mowa w ust. 1 pkt 1 lit. k), jeżeli powierzenie przez bank
wykonywania innych czynności jest niezbędne do prowadzenia działalności bankowej w sposób ostrożny i stabilny lub istotnego obniżenia
kosztów tej działalności.
4
Art. 6b
1. Odpowiedzialności przedsiębiorcy lub przedsiębiorcy zagranicznego wobec banku za szkody wyrządzone klientom wskutek
niewykonania lub nienależytego wykonania umowy, o której mowa w art. 6a ust. 1, nie można wyłączyć ani ograniczyć.
2. Odpowiedzialności banku za szkody wyrządzone klientom wskutek niewykonania lub nienależytego wykonania umowy, o której
mowa w art. 6a ust. 1, nie można wyłączyć ani ograniczyć.
Art. 6c
1. Powierzenie przez bank wykonywania stale lub okresowo czynności, o których mowa w art. 6a ust. 1, może nastąpić po spełnieniu
następujących warunków:
1) bank zawiadamia Komisję Nadzoru Finansowego co najmniej z 14-dniowym wyprzedzeniem o zamiarze zawarcia umowy, o której
mowa w art. 6a ust. 1,
2) zostanie zapewnione wykonywanie przez Komisję Nadzoru Finansowego efektywnego nadzoru nad wykonywaniem
powierzonych czynności,
3) bank i przedsiębiorca lub przedsiębiorca zagraniczny będą posiadać plany działania zapewniające ciągłe i niezakłócone
prowadzenie działalności w zakresie objętym umową,
4) powierzenie wykonywania czynności nie wpłynie niekorzystnie na prowadzenie przez bank działalności zgodnie z przepisami
prawa, ostrożne i stabilne zarządzanie bankiem, skuteczność systemu kontroli wewnętrznej w banku, możliwość
wykonywania obowiązków przez biegłego rewidenta upoważnionego do badania sprawozdań finansowych banku na
podstawie zawartej z bankiem umowy oraz ochronę tajemnicy prawnie chronionej.
…
Art. 6d
1. Zawarcie przez bank umowy, o której mowa w art. 6a ust. 1, z przedsiębiorcą zagranicznym niemającym miejsca stałego zamieszkania lub
nieposiadającym siedziby na terytorium państwa członkowskiego albo umowy przewidującej, że powierzone czynności będą wykonywane
stale lub okresowo za granicą, wymaga zezwolenia Komisji Nadzoru Finansowego udzielonego na wniosek banku.
…
4. Komisja Nadzoru Finansowego może odmówić wydania zezwolenia lub cofnąć zezwolenie, w przypadku gdy:
1) istnieje zagrożenie naruszenia tajemnicy prawnie chronionej,
2) w państwie, w którym powierzone czynności mają być wykonywane, obowiązujące prawo uniemożliwia Komisji Nadzoru Finansowego
wykonywanie efektywnego nadzoru,
3) powierzenie wykonywania czynności może wpłynąć niekorzystnie na prowadzenie przez bank działalności zgodnie z przepisami prawa,
ostrożne i stabilne zarządzanie bankiem, skuteczność systemu kontroli wewnętrznej w banku oraz możliwość wykonywania
obowiązków przez biegłego rewidenta upoważnionego do badania sprawozdań finansowych banku na podstawie zawartej z bankiem
umowy.
5
Art. 9f
Komisja Nadzoru Finansowego określi, w drodze uchwały, szczegółowe
zasady funkcjonowania systemu zarządzania ryzykiem i systemu
kontroli wewnętrznej.
Uchwała Nr 383/2008 Komisji Nadzoru Finansowego z dnia 17
grudnia 2008 r. w sprawie szczegółowych zasad
funkcjonowania systemu zarządzania ryzykiem i systemu
kontroli wewnętrznej oraz szczegółowych warunków
szacowania przez banki kapitału wewnętrznego i
dokonywania przeglądów procesu szacowania i
utrzymywania kapitału wewnętrznego:
§13. W ramach realizowanych strategii i stosowanych procedur
zarządzania ryzykiem bank wprowadza w szczególności:
…
8) w zakresie ryzyka operacyjnego:
…
d) zasady zarządzania ryzykiem powierzenia wykonywania
czynności podmiotom zewnętrznym;
…
6
Outsourcing i offshoring – definicje
Outsourcing
Offshoring
Na
potrzeby
niniejszej
prezentacji,
termin
‘outsourcing’ opisuje
porozumienie organizacji
(zleceniodawcy,
outsourcera)
z
zewnętrznymi
podmiotami (dostawcami, insourcerami) w celu
wykonywania przez nich określonych funkcji lub
procesów, obejmujących:
Na potrzeby niniejszej prezentacji, termin ‘offshoring’
odnosi się do zmiany lokalizacji jednego lub wielu
procesów lub funkcji na inną, zagraniczną lokację
(przeważnie o niższym koszcie), włącznie ze spółkami
zależnymi stanowiącymi centra usług wspólnych. W
ramach definicji O/O występują różnorodne modele
biznesowe (ich niektóre przykłady przedstawiono na
kolejnym slajdzie). Niezależnie od wykorzystanego
modelu biznesowego, zalety offshoringu mogą
obejmować
niższe
koszty zatrudnienia
lub
operacyjne oraz inne korzyści. Offshoring również
zawiera ryzyka, które przewyższają ryzyka związane z
outsourcingiem lokalnym, włączając w to dostępność
wykwalifikowanej kadry, ryzyka geopolityczne oraz
ryzyka wynikające z problemów związanych z obcą
kulturą, językiem i infrastrukturą.
•
outsourcing technologii informatycznych (ITO, ang.
information technology outsourcing) – rozwój
aplikacji, utrzymanie, wsparcie produkcyjne, itp.
•
outsourcing procesów biznesowych (BPO, ang.
business process outsourcing) – call center,
zarządzanie zasobami ludzkimi, księgowość itp.
Dostawcy usług outsourcingowych wykonują funkcje
back-office lub front-office, w przeciwieństwie do
tradycyjnej roli dostawcy związanej z dostarczaniem
materiałów. Dostawcy O/O funkcjonują bardziej jako
partnerzy biznesowi dostarczający usługi w imieniu
organizacji. W efekcie są oni niejako jej poszerzeniem,
co tworzy związek biznesowy określany czasami jako
„rozszerzone
przedsiębiorstwo”
(ang.
extended
enterprise).
7
Modele biznesowe offshoringu/outsourcingu
Stopień właścicielstwa
100%
Spółka zależna
• W całości posiadana
jednostka, stworzona lub
przejęta
• Pełna kontrola nad kadrami,
aktywami, systemami /
procesami
• Może być odpowiedzialna za
konkretny zestaw
umiejętności, takich jak
rekrutacja, program
motywacyjny, utrzymanie
budynków itp.
Wspomagana spółka
zależna
• W całości posiadana
jednostka, stworzona i
zarządzana przy wsparciu
doświadczonego partnera,
zazwyczaj jednego
podmiotu
• Wsparcie może być
zapewnione w zakresie:
1. Kadr (np. rekrutacja,
szkolenia, program
motywacyjny)
Joint Venture (JV)
8
Buduj – Działaj –
Transferuj (BOT, ang.
Build – Operate –
Transfer)
• Jednostka ustanowiona z
innym podmiotem
zewnętrznym w celu
usprawnienia tempa wejścia
na rynek, zmniejszenia
ryzyka oraz ochrony praw
własności intelektualnej
• Jednostka zarządzana
początkowo przez partnera
stanowiącego podmiot
zewnętrzny, a następnie
przekazana na pełną
własność klienta po upływie
uzgodnionego okresu
• Partner wybrany ze względu
na znajomość rynku
lokalnego i określone
doświadczenie sektorowe
• Właścicielstwo w
odniesieniu do kadr i
aktywów spoczywa
początkowo na podmiocie
zewnętrznym; własność i
kontrola określonych
systemów / procesów może
spoczywać na kliencie od
początku
2. Aktywów (np. wynajem /
zakup, utrzymanie,
wyposażenie)
3. Systemu / procesu (np.
pozyskiwanie
infrastruktury IT, audyt,
wsparcie
restrukturyzacji)
Niższe
0%
Stopień ryzyka
Outsourcing
• Jednostka w pełni
zarządzana przez podmiot
zewnętrzny
Wyższe
Kluczowe czynniki inicjatyw O/O
 redukcja kosztów (np. operacyjnych, rozwoju, sprzedaży)
 zwiększenie koncentracji na kluczowych kompetencjach
 wykorzystywanie najlepszych praktyk insourcerów i innowacji
 zwiększenie elastyczności oraz skalowalności operacji
Tworzenie
dodatkowej
wartości dla
interesariuszy
 zdobycie dostępu do kapitału ludzkiego
 napędzanie globalnego wzrostu poprzez uzyskanie punktu zaczepienia w
rozwijającej się gospodarce
9
Kluczowe czynniki inicjatyw O/O
Główne czynniki inicjatyw O/O
70%
64%
56%
60%
49%
50%
40%
37%
40%
27%
30%
20%
19%
15%
20%
10%
0%
Redukcja kosztów
Uzyskanie wiedzy w zakresie technologii
Doświadczenie pracowników insourcera
Zwiększenie wartości dla klientów
Zdobycie przewagi konkurencyjnej
Konsolidacja aktywów/zasobów
Zwiększenie wartości dla udziałowców
Brak wewnętrznych zasobów
Elastyczność
Inicjatywy O/O zazwyczaj dostarczają różnych kombinacji tych korzyści, lecz rzadko w pełni wykorzystują swój potencjał
i często przy zwiększonym ryzyku dla organizacji. Jeśli ryzyka te, zarówno wewnętrzne jak i zewnętrzne, nie są dobrze
zarządzane, mogą negatywnie wpłynąć na wydajność biznesową całej organizacji. Ankieta przeprowadzona przez
Deloitte wskazała np. iż znaczna liczba ankietowanych firm wyraziła rozczarowanie z ogólnych możliwości dostawców
usług outsourcingowych zapewniania ciągłych usprawnień procesów i technologii.
10
Metody zarządzania ryzykami outsourcingu i offshoringu
Inteligentne podejście do zarządzania ryzykiem obejmuje praktyki,
które:
•
odpowiadają pełnemu spektrum ryzyk towarzyszących decyzjom
i działaniom biznesowym
•
przecinają ‘silosy’ zapewniając zintegrowany przegląd ryzyk
występujących we wszystkich obszarach organizacji
•
uwzględniają odgórne okazje, jak również oddolne ewentualności
•
identyfikują, unikają, ograniczają i raportują na temat ryzyk w
sposób kompleksowy i optymalny kosztowo
•
zapewniają wspólny język i kontekst dla zarządzania ryzykiem
•
alokują zasoby zarządzania ryzykiem na podstawie istotności
zagrożeń i okazji.
Praktyki te są szczególnie istotne – i często nieobecne – w inicjatywach O/O. Niniejsza prezentacja
pokazuje jeden ze sposobów podejścia do decyzji O/O, obejmujący inteligentne zarządzanie ryzykami
na każdym etapie cyklu O/O.
11
Ryzyka są realne – i niewłaściwie zarządzane
Podstawowym ryzykiem w każdym przedsięwzięciu biznesowym jest nie uzyskanie przez nie zamierzonej wartości.
Zgodnie z tym miernikiem, wiele firm zmaga się z poważnymi ryzykami O/O. W ankiecie Deloitte dotyczącej
outsourcingu, 30% uczestników uznało, iż są niezadowoleni lub bardzo niezadowoleni z ich umów outsourcingowych.
Ponadto, 39% respondentów przerwało kontrakt outsourcingowy transferując go do innego dostawcy.
Dodatkowo kilka rosnących trendów zwiększyło ryzyka O/O:
•
Firmy obecnie polegają na podmiotach zewnętrznych i jednostkach offshoringowych nie tylko w zakresie
konkretnych projektów i funkcji back-office, lecz coraz częściej w zakresie głównych procesów biznesowych.
•
Zwiększenie globalnej konkurencji w zakresie pozyskiwania utalentowanych pracowników przyczyniło się do
niedoboru wykwalifikowanych pracowników na rynku lokalnym, co wymaga od firm koncentracji na strategii
zarządzania ludzkim kapitałem w celu optymalizacji jakości i kosztu usług.
•
Wymagania regulacyjne zwiększyły ekspozycję w zakresie odpowiedzialności za wykroczenia i niewłaściwe
wykonanie; w niektórych przypadkach wyższe kierownictwo i zarząd może być odpowiedzialne za niezgodność
związaną z działaniami podmiotu zewnętrznego.
•
Piractwo, łamanie bezpieczeństwa oraz kradzież informacji może negatywnie wpłynąć na wartość marki,
własność intelektualną oraz inne wartości niematerialne i prawne, w które firmy znacznie więcej inwestowały w
ubiegłych latach.
•
Bardziej zmienne otoczenie polityczne w niektórych popularnych lokacjach offshoringowych zwiększa ryzyko, że
zamieszki, terroryzm lub związane z nimi wydarzenia zagrożą wartości produktów i rzeczowych składników
aktywów, jak również stworzą klimat niestabilności uniemożliwiający efektywne i wydajne funkcjonowanie.
•
Insourcerzy de facto mogą przekształcić się w partnerów, jednak bez istniejących procesów analizy,
raportowania oraz kontroli charakterystycznych dla rzeczywistych partnerów.
By móc radzić sobie z tak kompleksowymi i dynamicznymi ryzykami, przedsiębiorstwa powinny wypracować
holistyczne podejście do zarządzania ryzykiem w celu wspomagania podejmowania decyzji w zakresie O/O.
12
Cykl outsourcingu i offshoringu
Cyklem O/O jest sekwencja decyzji i działań, która pozwala na wprowadzenie w życie określonej inicjatywy. Każdy etap
cyklu O/O odznacza się występowaniem odmiennych ryzyk, które powinny być adresowane poprzez użycie
specyficznych narzędzi, technik oraz taktyk ograniczających. Możemy w nim wyróżnić następujące etapy:
Ocena strategiczna
Ma na celu wypracowanie decyzji dlaczego, jak i w jakiej formie O/O może wspomóc strategię biznesową, oraz czy
wewnętrzne możliwości organizacji pozwolą na wsparcie inicjatywy O/O.
Badanie korzyści wdrożenia
Analiza przewidywanych oszczędności oraz innych finansowych i operacyjnych korzyści z wdrożenia inicjatywy O/O.
Wybór dostawcy
Selekcja dostawcy usług O/O oparta o kryteria zdefiniowane w etapach Ocena strategiczna i Badanie korzyści
wdrożenia.
Zawieranie umowy
Negocjowanie kontraktu, który pozwoli połączyć potrzeby i oczekiwania obydwu stron oraz zaadresuje zgodność i
ryzyka zidentyfikowane w trzech poprzedzających etapach.
Przeniesienie usług, świadczenie usług oraz zarządzanie inicjatywą po migracji
Zarządzanie migracją usług lub rozpoczęciem świadczenia usług przez podmiot zewnętrzny bądź centrum
offshoringowe. Ciągłe monitorowanie jakości i ryzyk wynikających z relacji biznesowej w oparciu o kontrakt oraz
umowę o świadczenie usług (SLA). Kontrola osiągania celów strategicznych.
13
Ryzyka na poszczególnych etapach cyklu O/O i sposoby
zarządzania nimi
Mimo że poszczególne ryzyka są przyporządkowane do kolejnych etapów cyklu O/O nie można zapominać, że zarówno
ryzyka, jak też etapy są ze sobą połączone. Z tego względu proces rozpoznania ryzyka powinien zostać
przeprowadzony na początku cyklu O/O w oparciu o inteligentne podejście do zarządzania ryzykiem. Kluczowa jest
identyfikacja i klasyfikacja potencjalnych ryzyk na dwóch pierwszych etapach cyklu: Ocenie strategicznej i
Badaniu korzyści wdrożenia. Dzięki temu, podczas kolejnych etapów możliwe będzie skupienie się na ocenie i
ograniczaniu ryzyka, a nie na jego identyfikacji. Większość niepowodzeń w zarządzaniu ryzkiem O/O wynika z
niepoprawnej identyfikacji ryzyka we wstępnych etapach cyklu O/O.
Poniższy rysunek przedstawia przykłady głównych ryzyk występujących na poszczególnych etapach cyklu O/O.
Wymienione ryzyka stanowią jedynie wzór, możliwe jest wystąpienie także odmiennych typów ryzyka.
Etap 1: Ocena strategiczna
• Cele inicjatywy O/O niezgodne z założeniami kompleksowej strategii biznesowej przedsiębiorstwa.
Etap 2: Badanie korzyści wdrożenia
• Błędne założenia odnośnie inicjatywy O/O, dotyczące np. przewidywanych oszczędności, okresu zwrotu z inwestycji,
bądź nakładów pozwalających na zbudowanie mechanizmów zarządzania i oceny inicjatywy.
Etap 3: Wybór dostawcy
• Wypracowane kryteria odnośnie wyboru dostawcy nie odpowiadają celom i ryzykom inicjatywy O/O; niepowodzenie w
przeprowadzeniu dokładnego procesu due diligence.
Etap 4: Zawieranie umowy
• Klauzule umowy dotyczące poziomu usług, warunków, kompetencji pracowników dostawcy, bezpieczeństwa, zachowania
tajemnicy oraz wypowiadania umowy są błędne bądź nie występują. Brak zapisów dotyczących mierzenia jakości usług
O/O w umowie SLA.
Etap 5: Przeniesienie usług, świadczenie usług oraz zarządzanie inicjatywą po migracji
• Brak poprawnego planowania migracji bądź nieodpowiednie zarządzanie inicjatywą może prowadzić do niskiej jakości
dostarczanych usług, przekroczenia kosztów oraz innych rezultatów obniżających wartość inicjatywy.
14
Przykładowa kategoryzacja ryzyk inicjatyw O/O
Opis, czynniki i przykłady
Kategoria
Operacyjne





Zgodność świadczenia przez insourcera usług z celami strategicznymi zleceniodawcy
Podejmowanie przez podmiot zewnętrzny zamierzonych działań nakierowanych na maksymalizację swoich zysków kosztem zleceniodawcy:
− Zamierzone świadczenie usług poniżej uzgodnionego standardu przy niezmienionych żądaniach odnośnie wynagrodzenia (poaching)
− Czerpanie przez zleceniobiorcę korzyści z danych udostępnionych przez zleceniodawcę w celu umożliwienia mu świadczenia usług w
ramach projektu bez wiedzy i zgody outsourcera (shirking)
− Wymuszanie przez usługodawcę korzystnych dla niego zmian umowy w przypadku braku alternatywy odnośnie wyboru partnera
outsourcingowego (vendor holdup)

Niebezpieczeństwo podlegania przez zleceniodawcę sankcjom prawnym w razie uchybienia wymogom określonym przepisami ustawy lub przez
regulatora (w szczególności naruszenie przez usługodawcę przepisów prawa chroniących np. tajemnicę bankową, dane osobowe, konsumenta
czy wyznaczających normy ostrożnościowe)
Trudności regulatora w sprawowaniu jego obowiązków w zakresie efektywnego nadzoru (dostęp do danych i informacji odnoszących się do
zleceniobiorcy w zakresie świadczonych przez niego usług)
Umowa outsourcingowa (np. sztuczne utrzymywanie relacji do końca przewidzianego okresu niekorzystne dla stron)
Odpowiedzialność zleceniodawcy wobec klientów za szkody im wyrządzone wskutek niewykonania lub nienależytego wykonania umowy
outsourcingowej przez podmiot zewnętrzny
Strategiczne
Prawne





Uchybianie przez usługodawcę przewidzianym standardom (określonym przez ustawodawcę, regulatora lub umowę), które mogą wpłynąć na
postrzeganie organizacji na rynku
Najpoważniejsze niebezpieczeństwo związane ze stosowaniem outsourcingu
Skutki zaistnienia wszelkich pozostałych ryzyk



Ryzyko braku strategii wyjścia
Lokalizacja usługodawcy (np. inne państwo – czynniki polityczne, społeczne, kulturowe, regulacje prawne)
Ryzyko koncentracji i systemowe (skupienie usług w ręku małej liczby usługodawców)

Utraty reputacji
Inne
Zagrożenia wywołane przez ludzi, procesy wewnętrzne, systemy i siłę wyższą
Czynniki: zamierzone przez usługodawcę oszustwa i jego błędy, złożoność świadczonych usług, geograficzne oddalenie między kontrahentami,
odmienność kulturowa, ograniczenia w komunikacji między partnerami outsourcingowymi i ich systemami
Szanse: infrastruktura zapasowa i plany awaryjne
Opracowanie własne na podstawie: M. Piwko, „Outsourcing elementem zarządzania ryzykiem w banku”, Warszawa, maj 2007
15
Ryzyka na poszczególnych etapach cyklu O/O i sposoby
zarządzania nimi
Dostosowanie procesu zarządzania ryzykiem do cyklu O/O pozwala na uwzględnienie interakcji
pomiędzy poszczególnymi etapami cyklu, a przez to na identyfikację, ocenę, sklasyfikowanie oraz
ograniczenie ryzyka na właściwym etapie. Przedsiębiorstwa, które nie stosują analogicznego
podejścia, wykazują tendencję do pomijania licznych aspektów procesu zarządzania ryzykiem,
wliczając w to:
•
Podczas Etapu 1: konieczność strategicznego dostosowania oraz oszacowania poziomu ryzyka
szczątkowego przy podejmowaniu decyzji o podjęciu inicjatywy O/O oraz konieczność oceny luk w
zasobach, procesach, możliwościach i kulturze organizacyjnej.
•
Podczas Etapu 2: czynniki kosztowe, przewidywana efektywność w ograniczaniu ryzyka oraz
ciągłe zarządzanie rozwojem relacji biznesowej, a także kontrola osiągania dodatkowej wartości
biznesowej.
•
Podczas Etapu 3: wykorzystanie procesu wyboru dostawcy w celu aktywnego zarządzania
ekspozycją na ryzyko operacyjne i zgodności.
•
Podczas Etapu 4: opracowanie umowy adresującej ryzyka wykonania usługi O/O, zgodności oraz
dostarczenia usług.
•
Podczas Etapu 5: właściwe planowanie migracji usług oraz efektywne zarządzanie zmianą.
Dostosowanie procesu zarządzania inicjatywą O/O do oczekiwań obydwu stron umowy,
zapewnienie nadzoru nad dostawcą usług oraz ciągłe usprawnianie procesu O/O.
Kolejne slajdy rozwiną temat inteligentnego podejścia do zarządzania ryzykiem w ramach
poszczególnych etapów cyklu O/O.
16
Inteligentne zarządzanie ryzykiem na Etapie 1 Ocena
strategiczna
Podczas oceny inicjatywy O/O pod kątem osiągania strategicznych celów biznesowych należy
oszacować, czy pomoże ona – lub nie – w osiągnięciu zamierzonych celów. Tego typu ocena pozwoli
również na zdefiniowanie wymagań, które należy postawić dostawcy usług, wybór właściwego
dostawcy oraz sprecyzowanie pożądanego poziomu świadczenia usług. By móc przeprowadzić
wspomnianą ocenę, należy przewidzieć główne punkty decyzyjne i ryzyka na poszczególnych etapach
cyklu O/O. Następnie powinno się ocenić możliwe do wdrożenia modele O/O oraz dostępność
zasobów i możliwości potrzebnych do wsparcia i monitorowania wdrażania inicjatywy. Ten
najwcześniejszy etap procesu jest najwłaściwszym, by zestawić strategiczne cele biznesowe z
ryzykami inicjatywy O/O oraz wymaganymi działaniami ograniczającymi poziom ryzyka.
Na tym etapie kluczowe jest udzielenie odpowiedzi na dwa podstawowe pytania:
•
Jakie ryzyka szczątkowe będą wynikać z decyzji o wybraniu określonego modelu O/O?
Ryzyka te będą zależeć od charakteru i skali usług podlegających outsourcing’owi bądź
offshoring’owi i powinny podlegać procesowi zarządzania ryzykiem w kolejnych fazach.
•
Jaki poziom wewnętrznych zasobów i możliwości możemy przeznaczyć na wsparcie
wybranej strategii O/O?
Przedsiębiorstwa, które nie przeznaczają odpowiednich zasobów i możliwości na wsparcie
podjętych inicjatyw O/O ryzykują niepowodzeniem przedsięwzięcia.
17
strategiczna
Oddolne ewentualności:
Jeżeli cele inicjatywy O/O nie są dostosowane
do strategii biznesowej, lub jeżeli ryzyka nie są
właściwie identyfikowane i ograniczane,
inicjatywa nie wesprze strategii biznesowej,
a w niektórych przypadkach nawet ją osłabi.
Takie przypadki nie są odosobnione. W
ankiecie Deloitte aż 39% spośród 300
przepytanych
przedstawicieli
wyższego
szczebla zarządzającego stwierdziło, że gdyby
mogło zmienić podjęte inicjatywy O/O, lepiej
zdefiniowałoby i dostosowało cele biznesowe
do podejmowanej inicjatywy.
W
niektórych
przypadkach
powyższe
niedostosowanie może podważyć całą
inicjatywę
O/O.
Wspomniana
ankieta
wykazała, że aż 50% spośród przedsiębiorstw,
które były niezadowolone bądź bardzo
niezadowolone z rezultatów ich największej
umowy
O/O
przywróciło
wcześniej
wyoutsourcowaną funkcję.
Co Twoja organizacja zrobiłaby inaczej jeśli musiałaby ponownie
podjąć inicjatywę O/O
49%
50%
45%
40%
35%
30%
25%
20%
15%
10%
5%
0%
39%
37%
35%
23%
22%
20%
Zdefiniowanie realistycznych poziomów usług zgodnych z celami biznesowymi
Zdefiniowanie i uzgodnienie celów biznesowych ze strategią outsourcingową
Opracowanie planu i przydzielenie pracowników do zarządzania usługą i kontraktem
Poświęcenie większej ilości czasu na wybór i ocenę dostawcy usługi
Skorzystanie z pomocy doświadczonego doradcy zewnętrznego
Wcześniejszy outsourcing
Porównanie kosztów outsourcingu z wewnętrznymi
18
strategiczna
Odgórne okazje:
Właściwie przeprowadzony proces oceny strategicznej pozwala na ograniczenie pochopnych decyzji, które mogą
skutkować nieodpowiednimi inicjatywami O/O. Proces oceny ma za zadanie wykazać, w jaki sposób wysiłki włożone w
projekt O/O wspierają strategię organizacyjną oraz pozwalają na zaadresowanie zidentyfikowanych słabości.
Rygorystyczna ocena strategiczna umożliwia również uzyskanie całościowego widoku na inicjatywę O/O, wykraczając
poza oszczędność kosztów i eliminując zbędne bądź nakładające się inicjatywy. W ten sposób możliwe jest
uniknięcie najczęstszego ograniczenia inicjatyw O/O, czyli skupiania się jedynie na oszczędności kosztów. Co więcej,
dzięki właściwemu procesowi oceny można wystrzec się także potencjalnych problemów wynikających z przeznaczenia
na wdrożenie inicjatywy O/O niewystarczających zasobów lub możliwości. Lepsza alokacja zasobów przy
zachowaniu wysokiej jakości usług O/O pozwala na osiąganie lepszych rezultatów biznesowych w stosunku do
wykorzystujących inicjatywy O/O konkurentów.
19
strategiczna
Wskazówki inteligentnego zarządzania ryzykiem w ramach Etapu 1 Ocena strategiczna
Kluczowe dla inteligentnego zarządzania ryzykiem na etapie Oceny strategicznej jest podjęcie decyzji
o tym, co chcemy osiągnąć na strategicznym poziomie oraz czy i jak dana inicjatywa O/O jest w stanie
w tym pomóc. Inicjatywy O/O mogą wesprzeć strategię biznesową bądź rozwiązać doraźny problem.
Fundamentem dla sukcesu projektu O/O jest połączenie wyboru dostawcy, warunków umowy oraz
wsparcia w postaci zasobów i możliwości z krótko- i długoterminowymi celami biznesowymi,
jakiekolwiek by one nie były.
W celu stworzenia środowiska przyjaznego dla inteligentnego podejścia do zarządzania ryzykiem w
Ocenie strategicznej należy:
•
Zintegrować formalną strategię przedsiębiorstwa w odniesieniu do inicjatyw O/O ze strategią
biznesową
•
Dopasować organizacyjną wizję procesu O/O z zasobami, które mogą być przeznaczone na
wsparcie określonej inicjatywy; zainwestować w stworzenie niezbędnych zasobów wewnętrznych
lub pozyskać ekspercką pomoc z zewnątrz w celu stworzenia owych zasobów
•
Systematycznie włączać wypracowane techniki ograniczania ryzyka w działania prowadzone w
ramach cykli O/O, wliczając wybór dostawców, zawieranie umowy, migrację usług i rutynowe
czynności
20
Inteligentne zarządzanie ryzykiem na Etapie 2 Badanie
korzyści wdrożenia
Etap Badanie korzyści wdrożenia wynika bezpośrednio z Oceny
strategicznej. Opiera się na przewidywaniach odnoszących się do
celów biznesowych i powinien wybiegać poza operacyjne
oszczędności kosztowe. Typowa inicjatywa O/O ma na celu:
•
zwiększenie elastyczności;
•
poprawienie
technicznych,
umiejętności zarządczych;
•
realokację wewnętrznych zasobów do działań generujących
większą wartość;
•
skrócenie cyklu rozwoju produktów oraz poprawę rynkowej
„zręczności”;
•
poszerzenie możliwości działania oraz
•
zwiększenie konkurencyjności i dodanie wartości dla akcjonariuszy.
operacyjnych
i
procesowych
Konkretna decyzja o wdrożeniu inicjatywy O/O powinna brać pod uwagę koszty zarządzania
projektem, komunikacji, zarządzania zasobami ludzkimi, prawne, finansowe oraz wszystkie inne
bezpośrednio związane z daną migracją usług. Wiele analiz nie uwzględnia pełnego spektrum
kosztów. Podobnie jest z kosztami nadzoru i zarządzania, które są bagatelizowane przez wiele
przedsiębiorstw.
21
Wiele przedsiębiorstw (38% wg badania przeprowadzonego przez Deloitte)
musiało ponosić dodatkowe bądź ukryte koszty za usługi, które początkowo
zostały uznane za figurujące w umowie. Nieprawidłowe założenia odnośnie
oszczędności kosztowych i okresu zwrotu również przyczyniały się do
nietrafnych decyzji dotyczących inicjatyw O/O. Wymienione problemy mają
miejsce w sytuacjach, gdy przedsiębiorstwa nie są w stanie zidentyfikować
wszystkich kosztów związanych z wdrożeniem projektu O/O. Dodatkowo
większość przedsiębiorstw pomija całościową analizę ryzyka, a przez to
niepoprawnie oszacowuje koszty jego ograniczania. Ankieta Deloitte
pokazuje skalę tego zjawiska: 63% ankietowanych nie przeprowadziło analizy
kosztów wdrożenia ani oceny strategicznej w ramach wypracowywania decyzji o
podjęciu inicjatywy O/O.
Odgórne okazje:
W przypadku, gdy idea wdrożenia inicjatywy O/O bazuje na prawidłowych
założeniach, możliwe jest racjonalne porównanie dostępnych możliwości i
podjęcie decyzji, czy dana funkcja rzeczywiście powinna być
wyoutsourcowana. Znaczne sumy można zaoszczędzić na tym etapie analizy
w przypadku odrzucenia błędnych decyzji, co może być jednak trudne w
przypadku popularności inicjatyw O/O wśród innych członków organizacji.
Należy pamiętać, że w przypadku uznania inicjatywy O/O za nieefektywną
biznesowo, efektywna może okazać się jedna z inicjatyw alternatywnych. Tym
samym uniknięcie potencjalnych strat związanych z projektem O/O może
pozwolić na przeznaczenie zasobów na bardziej produktywne projekty.
22
Wskazówki inteligentnego zarządzania ryzykiem w ramach Etapu 2 Badanie korzyści wdrożenia
By skutecznie zastosować inteligentne podejście do zarządzania ryzykiem na etapie Badanie korzyści
wdrożenia, należy rozpocząć od analizy struktury zarządzania organizacją oraz zasobów niezbędnych
do wdrożenia i nadzoru inicjatywy O/O. Podczas dokonywania oceny, należy przeprowadzić kompletną
analizę ryzyk w celu ich identyfikacji, klasyfikacji, oceny oraz wypracowania potencjalnych działań
ograniczających (odpowiedzi na ryzyko). Na tym etapie powinien zostać również oszacowany koszt
mierzenia i ograniczania ryzyka. Podstawą dla biznesowo uzasadnionego wdrożenia inicjatywy O/O
jest stworzenie formalnej metody szacowania korzyści i kosztów inicjatywy oraz przeprowadzenie
rzetelnego procesu due diligence, by zweryfikować przyjęte założenia. Użyteczna może się także
okazać klasyfikacja przewidywanych wydatków na jednorazowe i ciągłe (ponoszone przez cały okres
trwania inicjatywy O/O).
Inteligentne zarządzanie ryzykiem na etapie Badania korzyści wdrożenia powinno opierać się także na:
•
Przeglądzie wcześniejszych trafnych i chybionych decyzji o wdrożeniu inicjatyw O/O, podjętych
zarówno przez organizację, jak również przez jej konkurentów
•
Weryfikacja założeń finansowych, operacyjnych i innych, na przykład przy wykorzystaniu danych
dotyczących oszczędności uzyskiwanych dzięki wdrożeniu inicjatyw O/O przez podobne
przedsiębiorstwa z naszej branży
•
Poprawnym przewidywaniu poziomu kosztów jednorazowych i ciągłych, włączając koszty mierzenia
i ograniczania ryzyka
23
Inteligentne zarządzanie ryzykiem na Etapie 3 Wybór
dostawcy
W przypadku niepowodzenia inicjatywy O/O typowe jest obarczanie winą zewnętrznego dostawcy
usług. Nie zawsze jest to zgodne z prawdą – wiele problemów może wynikać z niewłaściwego
podejścia przedsiębiorstwa zlecającego usługi O/O. W szczególności jest ono odpowiedzialne za
przypadki, gdy cele i wymagania dotyczące inicjatywy O/O nie są jasno sprecyzowane i
zweryfikowane. Jeżeli tego typu podstawowe kwestie nie są uwzględnione, ryzyko niepowodzenia
projektu O/O wydatnie się zwiększa.
Wybór dostawcy jest newralgicznym etapem projektu O/O, ponieważ to właśnie zewnętrzny partner
wprowadza w życie nasze plany. Dlatego należy przezwyciężyć skłonność do podejmowania szybkich
decyzji i starannie przeanalizować dostępne możliwości. Przede wszystkim przed dokonaniem wyboru
dostawcy usług należy zakończyć etap pierwszy – Ocenę strategiczną oraz etap drugi – Badanie
korzyści wdrożenia. Następnymi krokami są dokładna analiza i dokonanie wyboru.
Znaczące problemy mogą wyniknąć z faktu pośpiesznej selekcji dostawcy. Wynika to przeważnie z
ustalania dostawcy z góry, bazując jedynie na analizie kosztów lub wyboru dostawcy, z którym
utrzymywaliśmy wcześniej relacje biznesowe. Kolejnym powodem mogą być zapytania ofertowe, które
nie bazują na konkluzjach z pierwszych dwóch etapów cyklu O/O – jest to nagminna sytuacja.
Staranny dobór dostawcy może powodować różnicę między katastrofą, porażką, powodzeniem bądź
ogromnym sukcesem przedsięwzięcia O/O, warto więc dołożyć starań, by przebiegł właściwie.
24
dostawcy
Niewłaściwy proces due diligence, podobnie jak
nieścisłości między celami O/O, zidentyfikowanym
ryzykiem i kryteriami wyboru dostawcy, mogą
prowadzić do zawarcia nieoptymalnych – a przez
to ryzykownych – relacji O/O. 44% przedsiębiorstw
przebadanych w ankiecie Deloitte przyznało, że
wyselekcjonowani
dostawcy
nie
posiadali
zdolności wymaganych do dostarczenia usług
oczekiwanej jakości przy zachowaniu efektywności
kosztowej. Wybór nieodpowiedniego dostawcy
rodzi ryzyko powstania potrzeby przeprowadzenia
procesu
wyboru
powtórnie,
by
naprawić
popełniony błąd. W badaniu Deloitte aż 35%
respondentów zadeklarowało, że przeznaczyłoby
więcej czasu na etap wyboru dostawcy, gdyby
mogli wrócić do początku cyklu O/O.
podjąć inicjatywę O/O
49%
50%
45%
40%
35%
30%
25%
20%
15%
10%
5%
0%
39%
37%
35%
23%
22%
20%
Odgórne okazje:
Jeżeli proces due diligence odnośnie zdolności
świadczenia usług, możliwości i zasobów
dostawcy zostanie prawidłowo przeprowadzony,
szansa na spełnienie wymagań stawianych
inicjatywie O/O znacznie się zwiększa.
25
dostawcy
Wskazówki inteligentnego zarządzania ryzykiem w ramach Etapu 3 Wybór dostawcy
Przy zawieraniu umów O/O należy pamiętać, że w momencie rozpoczęcia współpracy ryzyko dostawcy usług staje
się własnym ryzykiem. Nawet w przypadku, gdy z prawnego punktu widzenia ryzyko jest przeniesione na dostawcę,
odpowiedzialność pozostaje po stronie podmiotu zlecającego. Dlatego też proces due diligence powinien, na ile to
możliwe, ocenić zdolność dostawcy do zarządzania ryzykiem, podobnie jak ocenia zdolności operacyjne,
zarządzania i raportowania. Ocena ta powinna zawierać sprawdzenie gotowości operacyjnej dostawcy do rozpoczęcia
świadczenia usług i zdolności do wywiązania się z zapisów umowy, a także umiejętności dostosowania się do wymagań
prawnych obowiązujących we wszystkich właściwych obszarach.
Należyty proces selekcji powinien także w większości przypadków opierać się na:
•
Rozważeniu podjęcia danej inicjatywy O/O na poziomie całej organizacji zamiast doraźnych decyzji na poziomie
poszczególnych jednostek biznesowych
•
Zapytaniu ofertowym z jasno zdefiniowanymi wymaganiami obejmującym wymagania w zakresie jakości usług oraz
bezpieczeństwa, odzyskiwania danych, audytu i kontroli
•
Weryfikacji wstępnych założeń, przeglądzie operacyjnych możliwości zapewnienia jakości oraz analizie wrażliwości
proponowanych cen
•
Ocenie planów ciągłości działania dostawcy w świetle zmieniających się źródeł ryzyka dla działalności
•
Strategiach wyjścia i zmiany dostawcy
Kluczową rolę w ocenie mechanizmów kontroli wewnętrznej zaimplementowanych u potencjalnego dostawcy usług
w trakcie procesu due diligence oraz podczas trwania umowy O/O powinni pełnić audytorzy wewnętrzni. Dostępność
informacji może być oczywiście ograniczona w czasie poprzedzającym zawarcie umowy, jako że potencjalny dostawca
może być niechętny do przekazywania newralgicznych danych przed formalnym wejściem porozumienia w życie. Mimo
to należy dołożyć wszelkich starań, by uzyskać dostęp do informacji wystarczających, aby pozwolić na zapewnienie
poprawnego działania systemu kontroli wewnętrznej dostawcy.
26
dostawcy
Obszary podlegające ocenie podczas Etapu 3 obejmują:
27
Środowisko kontroli i
struktura zarządzania u
dostawcy usług
• Czy oczekiwania dostawcy i jego kodeks postępowania są zbieżne z naszymi? Czy są
one przestrzegane?
• Czy struktura, kompetencje i doświadczenie dostawcy są wystarczające do świadczenia
wymaganych przez nas usług?
• Czy dostawca przeprowadza cykliczną ocenę ryzyka, uwzględniającą czynniki
wpływające na zdolność do świadczenia usług dla klientów O/O?
Praktyki dostawcy usług
w zakresie
bezpieczeństwa,
ochrony prywatności i
ciągłości działania
• Czy jest stosowana kompleksowa kontrola bezpieczeństwa informacji bazująca na
wymaganiach klienta usług O/O i ocenie ryzyka dostawcy usług O/O?
• Jak przebiega komunikowanie polityki bezpieczeństwa i wynikających z niej wytycznych?
Jak jest weryfikowane działanie prowadzonych kontroli?
Operacyjna zdolność
dostawcy do
świadczenia usług
• Czy proces świadczenia usług jest odpowiednio dokumentowany? Czy funkcje i
obowiązki po stronie klienta i dostawcy usług są jasno zdefiniowane?
• Czy istnieje mechanizm kontrolny weryfikujący sprawozdawczość i rozliczenia
wynikające z zapisów umowy o świadczenie usług?
• Czy procesy zarządzania zmianą, zarządzania incydentami oraz eskalacji i
rozwiązywania problemów są sformalizowane?
Praktyki dostawcy w
zakresie zarządzania
zasobami ludzkimi
• Czy praktyki zatrudniania, wynagradzania, szkolenia i zwalniania pracowników przez
dostawcę usług są odpowiednio kontrolowane i zgodne z lokalnym prawem? Czy są one
dostosowane do praktyk obowiązujących u klienta usług O/O?
Program zarządzania
ryzykiem dostawcy
(VRM Vendor Risk
Management)
• Czy posiadamy sformalizowany program zarządzania ryzykiem dostawcy?
• Czy program uwzględnia ryzyka globalnego modelu świadczenia usług?
• Czy ryzyka dostawcy usług są regularnie poddawane przeglądowi na podstawie danych
uzyskanych podczas oceny ryzyka?
Inteligentne zarządzanie ryzykiem na Etapie 4 Zawieranie
umowy
Po tym, jak główne punkty umowy są ustalone, a ryzyka
zidentyfikowane, formalne zawarcie porozumienia powinno
być relatywnie łatwym etapem. Jest to rodzajem nagrody za
wysiłek włożony w skrupulatny proces due diligence
wynikający
z
właściwego
przeprowadzenia
trzech
pierwszych etapów wdrożenia inicjatywy O/O. W wyniku
zakończenia wspomnianych trzech etapów,
konspekt
umowy jest już przeważnie przygotowany (w formie
wstępnego zarysu), czyniąc etap Zawieranie umowy
wstępem do obopólnie korzystnej relacji biznesowej. Etap 4
nie jest czasem na próby naprawiania zaniechań i
błędów popełnionych w ramach Oceny strategicznej czy
też Wyboru dostawcy; niemniej jednak znaczna część
przedsiębiorstw próbuje go w tym celu wykorzystać.
28
umowy
Podstawowych problemów mogą przysporzyć
stronom brakujące bądź nieadekwatne zapisy
umowy dotyczące m.in.:
• poziomu usług,
• zarządzania migracją,
• zasobów personalnych dostawcy,
• planów bezpieczeństwa, ochrony prywatności
oraz awaryjnych,
• zabezpieczenia ceny,
• „klauzuli audytowej”,
• wypowiadania umowy.
Z drugiej strony umowa może być również na tyle
nieelastyczna, że niewykonalna staje się jej
aktualizacja, mimo iż sam kontrakt taką możliwość
gwarantuje. Negocjacje prowadzone w dobrej
wierze i obopólnie opłacalne porozumienie mogą
zmniejszyć obydwa ryzyka. 49% respondentów
badania Deloitte przyznało, że poświęciłoby więcej
czasu na zdefiniowanie realistycznych, zbieżnych
z celami biznesowymi organizacji poziomów usług
O/O, gdyby mogło wrócić do początku procesu
wdrażania inicjatywy O/O.
29
podjąć inicjatywę OO
49%
50%
45%
40%
35%
30%
25%
20%
15%
10%
5%
0%
39%
37%
35%
23%
22%
20%
umowy
Odgórne okazje:
Jasno zdefiniowane kontrakty, wraz z SLA i zrównoważonymi kartami wyników (balanced scorecard), umożliwiają obydwu
stronom klarowne określenie wzajemnych wymagań i pozwalają na zrozumiałe monitorowanie wzajemnych działań
podejmowanych na mocy umowy. Pozwala to na przeprowadzenie etapu w duchu przejrzystości i współpracy, unikając
ograniczeń. Jasne, uczciwe umowy są istotne także dla stworzenia użytecznego programu zarządzania ryzykiem
kontraktowym (CRC – contract risk and compliance program), wykorzystywanego podczas trwania relacji O/O.
Elementy programu CRC
Efektywny program zarządzania ryzykiem kontraktowym składa się z połączeń, struktur, procesów i interakcji z
partnerami zewnętrznymi. Służy do szacowania wartości relacji i zarządzania ryzykiem wspólnych przedsięwzięć
biznesowych. Jest sformalizowanym programem określania celów i tworzenia mierników sukcesu poprzez
monitorowanie wykonywanych działań i poziomu ryzyka oraz określenie „właścicielstwa” i odpowiedzialności zasobów
personalnych obydwu stron umowy.
Podstawowe czynności składające się na efektywny program CRC obejmują:
•
wyjaśnienie celów biznesowych, ryzyk, prowadzonych kontroli oraz korzyści dla każdego z partnerów
•
zapewnienie wzajemnego zrozumienia w zakresie zgodności i niezgodności z umową
•
weryfikacja dokładności informacji uzyskanych od partnerów biznesowych
•
przeprowadzenie oceny ryzyka i przeglądu kontroli u partnera biznesowego
Szczegółowe wymagania i działania różnią się ze względu na charakter relacji biznesowej, jednak podstawową ideą
programu CRC pozostaje realizacja wartości i zarządzanie ryzykiem.
30
umowy
Wskazówki inteligentnego zarządzania ryzykiem w ramach Etapu 4 Zawieranie umowy
Sytuacją idealną jest taka, w której obydwie strony umowy O/O postrzegają jej zawarcie jako ogniwo spajające
obopólnie korzystną, długofalową relację. Strony umowy powinny ją tworzyć przy uwzględnieniu założeń programu
CRC, który będzie wykorzystywany do administrowania relacją biznesową (jeżeli program CRC nie istnieje, należy go
opracować przed zawarciem pierwszej umowy O/O). Inteligentne zarządzanie ryzykiem na etapie Zawieranie umowy
zależy od jakości zapisów umowy oraz środków monitorowania wynikających z niej zobowiązań, co z kolei jest
pochodną właściwego przeprowadzenia pierwszych trzech etapów cyklu O/O.
Tym samym, wymagania dotyczące bezpieczeństwa i kontroli wynikające ze specyfiki relacji O/O oraz obowiązujących
standardów, polityk i procedur powinny być jasno zdefiniowane. Organizacje, które próbują zaimplementować
wymagania dotyczące kontroli w późnym stadium Etapu 4, lub co gorsza po zawarciu umowy ponoszą dodatkowe
koszty i ryzykują ponadplanowymi trudnościami.
Ponadto, inteligentne zarządzanie ryzykiem na Etapie 4 wymaga:
•
Połączenia kryteriów wydajności oraz mierników SLA z wartością biznesową
•
Wypracowania mechanizmów zarządzania zmianami wolumenu oraz wahaniami kosztów (zwiększenia i
zmniejszenia)
•
Zawarcia w umowie warunków płatności, wliczając rodzaj waluty i kursy wymiany
•
Sprawdzenia wymogów prawnych, umownych i ubezpieczeniowych oraz jasnego sformułowania skutków
niezgodności z nimi
•
Zawarcia w umowie zapisów o prawie do weryfikacji wydajności dostawcy w odniesieniu do postanowień umowy
•
Zawarcia w umowie warunków rozwiązania umowy w przypadku takiej decyzji którejś ze stron
31
Inteligentne zarządzanie ryzykiem na Etapie 5
Przeniesienie usług, świadczenie usług oraz zarządzanie
inicjatywą po migracji
Przeniesienie usług
Przeniesienie (migracja) usług jest krytycznym momentem cyklu O/O, a jego powodzenie zależy od jakości wcześniej
podjętych działań. Jeżeli wysiłki nie są zbieżne ze strategią biznesową, a korzyści wdrożenia są niewłaściwie
oszacowane, lub jeśli wybrano nieodpowiedniego dostawcę usług bądź wadliwie skonstruowano umowę, wynik
przedsięwzięcia jest zagrożony. Jeżeli jednak wszystkie wcześniejsze etapy przeprowadzono prawidłowo, wciąż
pozostaje do wykonania szereg działań.
Brak formalnego planu przeniesienia usług może utrudnić transfer wiedzy, zarządzanie zmianą oraz rozwiązywanie
problemów, a także utrzymanie kluczowych pracowników. Ankieta Deloitte wykazała, że 20% organizacji zlecających
usługi O/O doświadczyło nadmiernie wysokiego poziomu rotacji pracowników dostawcy usług przy jednoczesnym
zmniejszaniu bazy wiedzy. Co więcej, nieprawidłowo przeprowadzone przeniesienie usług może skutkować
nadwyrężeniem stosunków z klientami, pracownikami oraz pozostałymi interesariuszami.
Odgórne okazje:
Odpowiednie planowanie i zarządzanie pozwala na utrzymanie w ryzach kosztów oraz ryzyka przeniesienia usług,
stanowi podstawę wydajnych relacji i pozwala na utrzymanie bazy wiedzy. Faza Przeniesienia usług umożliwia również
usprawnienie dotychczas funkcjonujących operacji oraz (w niektórych przypadkach) udoskonalenie i przeniesienie
procesów lub systemów do dostawcy usług w efektywny kosztowo sposób.
32
Przeniesienie usług – wskazówki inteligentnego zarządzania ryzykiem
Najważniejszymi aspektami tej fazy są:
•
planowanie przeniesienia usług,
•
transfer wiedzy,
•
szkolenie oraz
•
utrzymanie kluczowych pracowników.
Użyteczne jest przeprowadzenie w jej trakcie oceny wyników w stosunku do wcześniej zdefiniowanych kryteriów. Kryteria
powinny obejmować wgląd w operacje i system zarządzania dostawcy, jakość procesu planowania, przestrzeganie
terminów, spełnienie wymagań jakościowych oraz komunikowanie napotkanych problemów. Umowa o świadczenie usług
(SLA) może zostać uzupełniona o wymienione aspekty. Najogólniej, kluczem do udanej migracji usług jest efektywne
przekazanie wiedzy oraz akceptacja obowiązków na poziomie jednostek. Wymaga to proaktywnego programu zarządzania
zmianą w obszarze zasobów ludzkich, do czego wiele przedsiębiorstw nie jest przygotowanych. W ankiecie Deloitte aż 75%
dostawców usług O/O stwierdziło, że ich klienci nie byli dobrze przygotowani na rozpoczęcie umowy O/O.
Inteligentne zarządzanie ryzykiem w fazie Przeniesienia usług pozwala na:
•
Przeprojektowanie procesów i systemów przed przeniesieniem usług lub wykorzystanie migracji do takiego
przeprojektowania zgodnie z przyjętym planem
•
Monitorowanie dokonań dostawcy i wyznaczenie odpowiednich oczekiwań odnośnie komunikacji i zgodności przy użyciu
programu CRC
•
Ocenę fazy pod kątem „poprawności” bądź „niepoprawności” jej przeprowadzania, szczególnie w obszarach transferu
wiedzy i zasobów ludzkich
•
Wysunięcie (bądź wspólne opracowanie) planu naprawczego adresującego zidentyfikowane nieprawidłowości
33
Świadczenie usług oraz zarządzanie inicjatywą po migracji
Ta ostatnia faza cyklu O/O może się wydawać „szczęśliwym końcem” procesu, nie należy jednak zapominać, że
produktywność i korzyści płynące z trwającej relacji biznesowej w dużej mierze zależą od poświęcanej relacji uwagi.
Nawet te inicjatywy O/O, których początek jest satysfakcjonujący są podatne na zaburzenia i tylko aktywny nadzór
kierownictwa może uprzedzić lub odwrócić potencjalne negatywne trendy. Oznacza to konieczność ciągłego
monitorowania jakości i terminowości otrzymywanych usług oraz weryfikacji zgodności z zapisami umowy, szczególnie
w zakresie zarządzania ryzykiem (jak na przykład szkolenia i plany awaryjne).
Obniżająca się jakość usług, przekraczanie ustalonego poziomu kosztów oraz problemy ze zgodnością mogą być
sygnałem zwiastującym potrzebę zmiany dostawcy bądź przywrócenia wyoutsourcowanej funkcji. Obydwa kroki
wymagają jednak dodatkowych wydatków oraz poświęcenia uwagi kierownictwa, przez co najczęściej preferowana jest
próba korekty istniejącej sytuacji. Jeżeli jednak dana funkcja O/O powinna zostać przeniesiona gdzie indziej, należy to
uczynić. Taka decyzja może uchronić organizację przed poważnymi szkodami dla jej reputacji, marki, rynków, finansów
oraz pozycji w świetle prawa.
Odgórne okazje:
Jeżeli relacja O/O jest efektywna, pozwala nie tylko na obniżenie kosztów i zwiększenie efektywności, lecz także na
ciągły, obustronny transfer wiedzy oraz stymulację wzrostu i rentowności obydwu stron umowy. Co więcej, każda udana
inicjatywa O/O, jeżeli jest dobrze komunikowana w organizacji, niesie za sobą porcję doświadczeń na przyszłość.
Nietrafne inicjatywy są także źródłem doświadczeń, za które jednak należy zapłacić wysoką cenę.
34
Świadczenie usług oraz zarządzanie inicjatywą po migracji – wskazówki inteligentnego
zarządzania ryzykiem
Program ciągłego monitorowania prowadzony w celu weryfikacji zgodności z szeregiem oczekiwań i założeń
(zakładając, że są one zawarte w umowie) pozwala na zwiększenie u stron umowy wzajemnego zaufania i uzyskanie
pewności, że proces przebiega zgodnie z koncepcją. Ponadto proces kontroli może także zidentyfikować obopólnie
korzystne możliwości zmiany (np. zwiększające satysfakcję klienta), o które należy rozszerzyć umowę w przypadku jej
przedłużania. Program nadzoru powinien umożliwić wykrycie i raportowanie zaniedbań, zaniechań oraz niezgodności
podczas całego okresu trwania umowy. Dotyczy to w szczególności:
•
struktury zarządzania z jasno określonymi rolami i zakresem odpowiedzialności;
•
przekrojowej integracji IT, działalności biznesowej, zgodności, bezpieczeństwa, ochrony prywatności i zakupów;
•
równowagi między scentralizowanymi standardami i lokalnymi wymaganiami w lokalizacjach O/O.
Inteligentne zarządzanie ryzykiem inicjatywy O/O po migracji, w trakcie procesu dostarczania usług, powinno także:
•
Okresowo weryfikować zgodność z umową i SLA
•
Zostać wkomponowane w formalny, scentralizowany proces monitorowania i wdrażania rekomendacji
•
Ustanowić program zarządzania ryzykiem dostawcy (VRM Vendor Risk Management), który zapewni skuteczność i
efektywność nadzoru dostawcy
•
Przypisać rolę monitorowania inicjatywy O/O po migracji pracownikom audytu wewnętrznego
•
Ustanowić i wdrożyć zapisy dotyczące kar grożących w przypadku zidentyfikowania niezgodności z umową
35
Skuteczne zarządzanie ryzykiem outsourcingu i
offshoringu – podsumowanie
Implementacja choćby kilku etapów zmierzających do inteligentnego zarządzania ryzykiem
outsourcingu i offshoringu pozwoli lokować inicjatywy O/O wprowadzającego je przedsiębiorstwa na
czele konkurentów. Wprowadzenie pełnego cyklu pozwoli na maksymalizację korzyści, ponieważ
każdy z wchodzących w jego skład etapów bazuje na wynikach poprzedniego. Klarowna ocena
strategiczna pozwala na rzetelne zbadanie korzyści wdrożenia, co z kolei sprzyja dokonaniu
właściwej selekcji dostawcy i stworzeniu kompletnej umowy. Umowa ta, wraz z towarzyszącymi
jej analizami, umożliwia płynne przeniesienie usług oraz pomyślne zarządzanie inicjatywą O/O
po migracji.
Outsourcing i offshoring oferują wiele potencjalnych korzyści. Godnym zauważenia jest jednak fakt,
że odpowiedzialność kierownictwa, niezależnie od charakteru prowadzonych inicjatyw O/O,
pozostaje niezmieniona. Wiele czynności może być przedmiotem usług O/O, nadzór musi być
jednak zachowany. Najprościej mówiąc, nie można wyoutsourcować odpowiedzialności.
Naturalnym jest uznawanie zarządzania ryzykiem za dodatkowy koszt, i w rzeczy samej proces ten
wymaga dodatkowych nakładów finansowych, zasobów i uwagi kierownictwa. Niemniej jednak,
biorąc pod uwagę stawkę outsourcingu i offshoringu – zarówno potencjalne korzyści, jak również
ryzyko szczątkowe – inteligentne podejście do zarządzania ryzykiem jest najlepszą drogą do
osiągania maksymalnych korzyści z inicjatyw O/O. Nawet pojedyncze kroki w tym kierunku mogą
przynieść wymierne rezultaty.
36
Czy Twoja organizacja skutecznie zarządza ryzykami O/O?
W jakim stopniu organizacja rozważa
inicjatywy O/O w świetle strategicznych
celów biznesowych? Czy tego typu
inicjatywy są zasadniczo
wykorzystywane do zmniejszenia
kosztów i rozwiązywania bieżących
problemów? Czy istnieje dla nich
głębsze, strategiczne uzasadnienie?
Czy organizacja posiada formalną
strukturę zarządzania ryzykiem,
pozwalającą na identyfikację i
wypracowywanie odpowiedzi na
ryzyko na każdym etapie cyklu O/O?
Czy organizacja posiada
sformalizowany program
zarządzania ryzykiem dostawcy
(VRM)? Czy zasoby potrzebne
do zarządzania ryzykiem są
alokowane na podstawie
klasyfikacji ryzyka, a ryzyko
dostawcy okresowo
monitorowane w oparciu o taką
klasyfikację?
formalne ramy zarządzania
ryzykiem oraz powtarzalny
model oceny ryzyka, który
może stosować do przyszłych
decyzji i wdrożeń?
37
Czy zarządzanie inicjatywą O/O jest
uwzględniane na poziomie organizacyjnym?
Czy zarządzanie ryzykiem jest traktowane jako
jednorazowy proces dla każdej inicjatywy?
Czy są wypracowywane
efektywne techniki
ograniczania ryzyka
bazujące na jego ocenie?
sformalizowany program
zarządzania ryzykiem
kontraktowym (CRC)? Czy jest
on stosowany zgodnie z
założeniami?
Czy organizacja wymaga od
dostawców usług O/O
regularnego przygotowywania
raportów na temat poziomu
świadczonych usług zgodnie z
ustalonymi celami? Czy są
ustalone kary za niezgodność
z zawartymi umowami o
świadczenie usług (SLA)?
Czy decyzje o wdrożeniu inicjatyw O/O
bazują na racjonalnych, weryfikowalnych
założeniach?
Czy wyniki analizy ryzyka w
zakresie inicjatywy O/O są
uwzględniane przy wyborze
dostawcy, due diligence i
zawieraniu umowy?
Czy istnieje oddzielny, gruntowny
plan migracji usług dla każdej
inicjatywy O/O? Czy takie plany są
wykorzystywane i analizowane pod
kątem efektywności?
Czy organizacja klasyfikuje wszystkie
ryzyka inicjatyw O/O pod względem ich
prawdopodobieństwa i potencjalnego
wpływu? Czy właściwie alokuje zasoby
potrzebne do zarządzania ryzykami
inicjatyw O/O?
Czy organizacja, na poziomie
jednostki, zbiera i raportuje swoje
doświadczenia z prowadzenia
inicjatyw O/O, by wykorzystać
wynikające z nich wnioski w kolejnych
wdrożeniach?
Czy umowy O/O są jednostronne i
bazują na uzyskaniu maksymalnych
korzyści kosztem dostawców i
partnerów, czy są zrównoważone? Czy
uwzględniają globalne ryzyka
świadczenia usług O/O?
Czy dostawcy usług O/O są
dokładnie badani i weryfikowani?
Czy są wybierani na podstawie
kryteriów kosztowych i
istniejących relacji?
Czy organizacja rozpatruje
słabości obniżające wartość
przedsięwzięcia O/O w
trakcie jego oceny?
Czy w organizacji została zbadana
gotowość do prowadzenia projektów
O/O? Czy luki między obecnymi
możliwościami organizacji, a
możliwościami potrzebnymi do
optymalnego wykorzystania inicjatyw
O/O zostały zidentyfikowane? Czy luki
zostały zaadresowane?
Piotr Kaniewski
Konsultant
Enterprise Risk Services
Deloitte Advisory Sp.z o.o.
Tel: +48 (22) 511 02 71
Fax: +48 (22) 511 08 13
Tel. kom.: +48 605 600 546
E-mail: [email protected]
Nazwa Deloitte odnosi się do jednej lub kilku jednostek Deloitte Touche Tohmatsu Limited, prywatnego
podmiotu prawa brytyjskiego z ograniczoną odpowiedzialnością i jego firm członkowskich, które stanowią
oddzielne i niezależne podmioty prawne. Dokładny opis struktury prawnej Deloitte Touche Tohmatsu
Limited oraz jego firm członkowskich można znaleźć na stronie www.deloitte.com/pl/onas
Deloitte świadczy usługi audytorskie, konsultingowe, doradztwa podatkowego i finansowego klientom z
sektora publicznego oraz prywatnego, działającym w różnych branżach. Dzięki globalnej sieci firm
członkowskich obejmującej 140 krajów oferujemy najwyższej klasy umiejętności, doświadczenie i wiedzę
w połączeniu ze znajomością lokalnego rynku. Pomagamy klientom odnieść sukces niezależnie od
miejsca i branży, w jakiej działają. 170 000 pracowników Deloitte na świecie realizuje misję firmy:
stanowić standard najwyższej jakości.
Specjalistów
Deloitte
łączy
kultura
współpracy
oparta
na
zawodowej
rzetelności
i uczciwości, maksymalnej wartości dla klientów, lojalnym współdziałaniu i sile, którą czerpią
z różnorodności. Deloitte to środowisko sprzyjające ciągłemu pogłębianiu wiedzy, zdobywaniu nowych
doświadczeń oraz rozwojowi zawodowemu. Eksperci Deloitte z zaangażowaniem współtworzą
społeczną odpowiedzialność biznesu, podejmując inicjatywy na rzecz budowania zaufania publicznego i
wspierania lokalnych społeczności.
38

Skuteczne zarządzanie ryzykiem outsourcingu i offshoringu

Transkrypt

Podobne dokumenty

Różne oblicza zarządzania ryzykiem | Pol-Int

Ryzyko w procesie zarządzania

Zarządzanie ryzykiem operacyjnym i finansowym

Spis treści Wstęp Rozdział I RYZYKO UBEZPIECZENIOWE 1.1

Staż rotacyjny - Skarb/Ryzyko - Quantitative Finance

Zarządzanie Ryzykiem Powodziowym

„Analiza i zarządzanie ryzykiem inwestycyjnym przedsiębiorstwa w