Skuteczne zarządzanie ryzykiem outsourcingu i offshoringu
Transkrypt
Skuteczne zarządzanie ryzykiem outsourcingu i offshoringu
Skuteczne zarządzanie ryzykiem outsourcingu i offshoringu Dla Professional Risk Managers’ International Association Piotr Kaniewski Marzec 2011 Agenda 1. Wprowadzenie 2. Oustourcing i Offshoring – definicja 3. Kluczowe czynniki inicjatyw O/O 4. Metody zarządzania ryzykami O/O 5. Cykl O/O 6. Ryzyka na poszczególnych etapach cyklu O/O i sposoby zarządzania nimi 7. Podsumowanie 8. Czy Twoja organizacja skutecznie zarządza ryzykami O/O? 2 Skuteczne zarządzanie ryzykiem outsourcingu i offshoringu Dla Professional Risk Managers’ International Association © 2011 Deloitte Polska Wprowadzenie W ubiegłych latach wiele przedsiębiorstw zwiększyło wykorzystanie oraz zależność od usług outsourcingu i offshoringu (O/O). Taki układ powoduje zarówno ryzyka, jak i korzyści dla organizacji korzystających z tego rodzaju usług. Jednakże powodzenie inicjatyw outsourcingu i offshoringu nie musi opierać się na szczęściu. Istnieją kroki, których podjęcie umożliwia ograniczanie ryzyk i maksymalizację korzyści na każdym etapie cyklu O/O. Kroki te pozwalają na inteligentne zarządzanie ryzykami outsourcingu i offshoringu oraz pomagają ograniczyć szansę doświadczenia niepożądanego rezultatu w trakcie inicjatyw O/O. 3 Skuteczne zarządzanie ryzykiem outsourcingu i offshoringu Dla Professional Risk Managers’ International Association © 2011 Deloitte Polska Podstawa prawna – outsourcing bankowy Ustawa z dnia 29 sierpnia 1997 r. – Prawo bankowe: Art. 6a 1. Bank może, w drodze umowy zawartej na piśmie, powierzyć przedsiębiorcy lub przedsiębiorcy zagranicznemu, z zastrzeżeniem art. 6d, wykonywanie wyłącznie: 1) w imieniu i na rzecz banku pośrednictwa w zakresie czynności bankowych na podstawie umowy agencyjnej, polegającego na: a) zawieraniu i zmianie umów rachunków bankowych, o których mowa w art. 49 ust. 1 pkt 3, według wzoru zatwierdzonego przez bank, b) zawieraniu i zmianie umów kredytu na sfinansowanie inwestycji mającej na celu zaspokojenie własnych potrzeb mieszkaniowych kredytobiorcy w rozumieniu przepisów o podatku dochodowym od osób fizycznych, c) zawieraniu i zmianie umów kredytu konsumenckiego w rozumieniu ustawy z dnia 20 lipca 2001 r. o kredycie konsumenckim (Dz. U. Nr 100, poz. 1081 oraz z 2003 r. Nr 109, poz. 1030), d) zawieraniu i zmianie umów ugody w sprawie spłaty kredytów, o których mowa w lit. b) i c), e) zawieraniu i zmianie umów dotyczących ustanowienia prawnego zabezpieczenia kredytów, o których mowa w lit. b) i c), f) zawieraniu i zmianie umów o kartę płatniczą, których stroną jest konsument w rozumieniu ustawy, o której mowa w lit. c), g) przyjmowaniu wpłat, dokonywaniu wypłat oraz obsłudze czeków związanych z prowadzeniem rachunków bankowych przez ten bank, h) dokonywaniu wypłat i przyjmowaniu spłat udzielonych przez ten bank kredytów i pożyczek pieniężnych, i) przyjmowaniu wpłat na rachunki bankowe prowadzone przez inne banki, j) przyjmowaniu dyspozycji przeprowadzania bankowych rozliczeń pieniężnych związanych z prowadzeniem rachunków bankowych przez ten bank, k) wykonywaniu innych czynności, po uzyskaniu zezwolenia Komisji Nadzoru Finansowego, 2) czynności faktycznych związanych z działalnością bankową. 2. Powierzenie wykonywania czynności, o którym mowa w ust. 1, nie może obejmować: 1) zarządzania bankiem w rozumieniu art. 368 § 1 ustawy z dnia 15 września 2000 r. – Kodeks spółek handlowych (Dz. U. Nr 94, poz. 1037, z 2001 r. Nr 102, poz. 1117 oraz z 2003 r. Nr 49, poz. 408 i Nr 229, poz. 2276), zwanej dalej „Kodeksem spółek handlowych”, oraz w rozumieniu art. 48 ustawy z dnia 16 września 1982 r. – Prawo spółdzielcze (Dz. U. z 2003 r. Nr 188, poz. 1848), zwanej dalej „ustawą – Prawo spółdzielcze”, a w szczególności zarządzania ryzykiem związanym z prowadzeniem działalności bankowej, w tym zarządzania aktywami i pasywami, dokonywania oceny zdolności kredytowej i analizy ryzyka kredytowego, 2) przeprowadzania audytu wewnętrznego banku. 3. Komisja Nadzoru Finansowego może udzielić bankowi zezwolenia, o którym mowa w ust. 1 pkt 1 lit. k), jeżeli powierzenie przez bank wykonywania innych czynności jest niezbędne do prowadzenia działalności bankowej w sposób ostrożny i stabilny lub istotnego obniżenia kosztów tej działalności. 4 Skuteczne zarządzanie ryzykiem outsourcingu i offshoringu Dla Professional Risk Managers’ International Association © 2011 Deloitte Polska Podstawa prawna – outsourcing bankowy Ustawa z dnia 29 sierpnia 1997 r. – Prawo bankowe: Art. 6b 1. Odpowiedzialności przedsiębiorcy lub przedsiębiorcy zagranicznego wobec banku za szkody wyrządzone klientom wskutek niewykonania lub nienależytego wykonania umowy, o której mowa w art. 6a ust. 1, nie można wyłączyć ani ograniczyć. 2. Odpowiedzialności banku za szkody wyrządzone klientom wskutek niewykonania lub nienależytego wykonania umowy, o której mowa w art. 6a ust. 1, nie można wyłączyć ani ograniczyć. Art. 6c 1. Powierzenie przez bank wykonywania stale lub okresowo czynności, o których mowa w art. 6a ust. 1, może nastąpić po spełnieniu następujących warunków: 1) bank zawiadamia Komisję Nadzoru Finansowego co najmniej z 14-dniowym wyprzedzeniem o zamiarze zawarcia umowy, o której mowa w art. 6a ust. 1, 2) zostanie zapewnione wykonywanie przez Komisję Nadzoru Finansowego efektywnego nadzoru nad wykonywaniem powierzonych czynności, 3) bank i przedsiębiorca lub przedsiębiorca zagraniczny będą posiadać plany działania zapewniające ciągłe i niezakłócone prowadzenie działalności w zakresie objętym umową, 4) powierzenie wykonywania czynności nie wpłynie niekorzystnie na prowadzenie przez bank działalności zgodnie z przepisami prawa, ostrożne i stabilne zarządzanie bankiem, skuteczność systemu kontroli wewnętrznej w banku, możliwość wykonywania obowiązków przez biegłego rewidenta upoważnionego do badania sprawozdań finansowych banku na podstawie zawartej z bankiem umowy oraz ochronę tajemnicy prawnie chronionej. … Art. 6d 1. Zawarcie przez bank umowy, o której mowa w art. 6a ust. 1, z przedsiębiorcą zagranicznym niemającym miejsca stałego zamieszkania lub nieposiadającym siedziby na terytorium państwa członkowskiego albo umowy przewidującej, że powierzone czynności będą wykonywane stale lub okresowo za granicą, wymaga zezwolenia Komisji Nadzoru Finansowego udzielonego na wniosek banku. … 4. Komisja Nadzoru Finansowego może odmówić wydania zezwolenia lub cofnąć zezwolenie, w przypadku gdy: 1) istnieje zagrożenie naruszenia tajemnicy prawnie chronionej, 2) w państwie, w którym powierzone czynności mają być wykonywane, obowiązujące prawo uniemożliwia Komisji Nadzoru Finansowego wykonywanie efektywnego nadzoru, 3) powierzenie wykonywania czynności może wpłynąć niekorzystnie na prowadzenie przez bank działalności zgodnie z przepisami prawa, ostrożne i stabilne zarządzanie bankiem, skuteczność systemu kontroli wewnętrznej w banku oraz możliwość wykonywania obowiązków przez biegłego rewidenta upoważnionego do badania sprawozdań finansowych banku na podstawie zawartej z bankiem umowy. 5 Skuteczne zarządzanie ryzykiem outsourcingu i offshoringu Dla Professional Risk Managers’ International Association © 2011 Deloitte Polska Podstawa prawna – outsourcing bankowy Ustawa z dnia 29 sierpnia 1997 r. – Prawo bankowe: Art. 9f Komisja Nadzoru Finansowego określi, w drodze uchwały, szczegółowe zasady funkcjonowania systemu zarządzania ryzykiem i systemu kontroli wewnętrznej. Uchwała Nr 383/2008 Komisji Nadzoru Finansowego z dnia 17 grudnia 2008 r. w sprawie szczegółowych zasad funkcjonowania systemu zarządzania ryzykiem i systemu kontroli wewnętrznej oraz szczegółowych warunków szacowania przez banki kapitału wewnętrznego i dokonywania przeglądów procesu szacowania i utrzymywania kapitału wewnętrznego: §13. W ramach realizowanych strategii i stosowanych procedur zarządzania ryzykiem bank wprowadza w szczególności: … 8) w zakresie ryzyka operacyjnego: … d) zasady zarządzania ryzykiem powierzenia wykonywania czynności podmiotom zewnętrznym; … 6 Skuteczne zarządzanie ryzykiem outsourcingu i offshoringu Dla Professional Risk Managers’ International Association © 2011 Deloitte Polska Outsourcing i offshoring – definicje Outsourcing Offshoring Na potrzeby niniejszej prezentacji, termin ‘outsourcing’ opisuje porozumienie organizacji (zleceniodawcy, outsourcera) z zewnętrznymi podmiotami (dostawcami, insourcerami) w celu wykonywania przez nich określonych funkcji lub procesów, obejmujących: Na potrzeby niniejszej prezentacji, termin ‘offshoring’ odnosi się do zmiany lokalizacji jednego lub wielu procesów lub funkcji na inną, zagraniczną lokację (przeważnie o niższym koszcie), włącznie ze spółkami zależnymi stanowiącymi centra usług wspólnych. W ramach definicji O/O występują różnorodne modele biznesowe (ich niektóre przykłady przedstawiono na kolejnym slajdzie). Niezależnie od wykorzystanego modelu biznesowego, zalety offshoringu mogą obejmować niższe koszty zatrudnienia lub operacyjne oraz inne korzyści. Offshoring również zawiera ryzyka, które przewyższają ryzyka związane z outsourcingiem lokalnym, włączając w to dostępność wykwalifikowanej kadry, ryzyka geopolityczne oraz ryzyka wynikające z problemów związanych z obcą kulturą, językiem i infrastrukturą. • outsourcing technologii informatycznych (ITO, ang. information technology outsourcing) – rozwój aplikacji, utrzymanie, wsparcie produkcyjne, itp. • outsourcing procesów biznesowych (BPO, ang. business process outsourcing) – call center, zarządzanie zasobami ludzkimi, księgowość itp. Dostawcy usług outsourcingowych wykonują funkcje back-office lub front-office, w przeciwieństwie do tradycyjnej roli dostawcy związanej z dostarczaniem materiałów. Dostawcy O/O funkcjonują bardziej jako partnerzy biznesowi dostarczający usługi w imieniu organizacji. W efekcie są oni niejako jej poszerzeniem, co tworzy związek biznesowy określany czasami jako „rozszerzone przedsiębiorstwo” (ang. extended enterprise). 7 Skuteczne zarządzanie ryzykiem outsourcingu i offshoringu Dla Professional Risk Managers’ International Association © 2011 Deloitte Polska Modele biznesowe offshoringu/outsourcingu Stopień właścicielstwa 100% Spółka zależna • W całości posiadana jednostka, stworzona lub przejęta • Pełna kontrola nad kadrami, aktywami, systemami / procesami • Może być odpowiedzialna za konkretny zestaw umiejętności, takich jak rekrutacja, program motywacyjny, utrzymanie budynków itp. Wspomagana spółka zależna • W całości posiadana jednostka, stworzona i zarządzana przy wsparciu doświadczonego partnera, zazwyczaj jednego podmiotu • Wsparcie może być zapewnione w zakresie: 1. Kadr (np. rekrutacja, szkolenia, program motywacyjny) Joint Venture (JV) 8 Buduj – Działaj – Transferuj (BOT, ang. Build – Operate – Transfer) • Jednostka ustanowiona z innym podmiotem zewnętrznym w celu usprawnienia tempa wejścia na rynek, zmniejszenia ryzyka oraz ochrony praw własności intelektualnej • Jednostka zarządzana początkowo przez partnera stanowiącego podmiot zewnętrzny, a następnie przekazana na pełną własność klienta po upływie uzgodnionego okresu • Partner wybrany ze względu na znajomość rynku lokalnego i określone doświadczenie sektorowe • Właścicielstwo w odniesieniu do kadr i aktywów spoczywa początkowo na podmiocie zewnętrznym; własność i kontrola określonych systemów / procesów może spoczywać na kliencie od początku 2. Aktywów (np. wynajem / zakup, utrzymanie, wyposażenie) 3. Systemu / procesu (np. pozyskiwanie infrastruktury IT, audyt, wsparcie restrukturyzacji) Niższe 0% Stopień ryzyka Skuteczne zarządzanie ryzykiem outsourcingu i offshoringu Dla Professional Risk Managers’ International Association Outsourcing • Jednostka w pełni zarządzana przez podmiot zewnętrzny Wyższe © 2011 Deloitte Polska Kluczowe czynniki inicjatyw O/O redukcja kosztów (np. operacyjnych, rozwoju, sprzedaży) zwiększenie koncentracji na kluczowych kompetencjach wykorzystywanie najlepszych praktyk insourcerów i innowacji zwiększenie elastyczności oraz skalowalności operacji Tworzenie dodatkowej wartości dla interesariuszy zdobycie dostępu do kapitału ludzkiego napędzanie globalnego wzrostu poprzez uzyskanie punktu zaczepienia w rozwijającej się gospodarce 9 Skuteczne zarządzanie ryzykiem outsourcingu i offshoringu Dla Professional Risk Managers’ International Association © 2011 Deloitte Polska Kluczowe czynniki inicjatyw O/O Główne czynniki inicjatyw O/O 70% 64% 56% 60% 49% 50% 40% 37% 40% 27% 30% 20% 19% 15% 20% 10% 0% Redukcja kosztów Uzyskanie wiedzy w zakresie technologii Doświadczenie pracowników insourcera Zwiększenie wartości dla klientów Zdobycie przewagi konkurencyjnej Konsolidacja aktywów/zasobów Zwiększenie wartości dla udziałowców Brak wewnętrznych zasobów Elastyczność Inicjatywy O/O zazwyczaj dostarczają różnych kombinacji tych korzyści, lecz rzadko w pełni wykorzystują swój potencjał i często przy zwiększonym ryzyku dla organizacji. Jeśli ryzyka te, zarówno wewnętrzne jak i zewnętrzne, nie są dobrze zarządzane, mogą negatywnie wpłynąć na wydajność biznesową całej organizacji. Ankieta przeprowadzona przez Deloitte wskazała np. iż znaczna liczba ankietowanych firm wyraziła rozczarowanie z ogólnych możliwości dostawców usług outsourcingowych zapewniania ciągłych usprawnień procesów i technologii. 10 Skuteczne zarządzanie ryzykiem outsourcingu i offshoringu Dla Professional Risk Managers’ International Association © 2011 Deloitte Polska Metody zarządzania ryzykami outsourcingu i offshoringu Inteligentne podejście do zarządzania ryzykiem obejmuje praktyki, które: • odpowiadają pełnemu spektrum ryzyk towarzyszących decyzjom i działaniom biznesowym • przecinają ‘silosy’ zapewniając zintegrowany przegląd ryzyk występujących we wszystkich obszarach organizacji • uwzględniają odgórne okazje, jak również oddolne ewentualności • identyfikują, unikają, ograniczają i raportują na temat ryzyk w sposób kompleksowy i optymalny kosztowo • zapewniają wspólny język i kontekst dla zarządzania ryzykiem • alokują zasoby zarządzania ryzykiem na podstawie istotności zagrożeń i okazji. Praktyki te są szczególnie istotne – i często nieobecne – w inicjatywach O/O. Niniejsza prezentacja pokazuje jeden ze sposobów podejścia do decyzji O/O, obejmujący inteligentne zarządzanie ryzykami na każdym etapie cyklu O/O. 11 Skuteczne zarządzanie ryzykiem outsourcingu i offshoringu Dla Professional Risk Managers’ International Association © 2011 Deloitte Polska Ryzyka są realne – i niewłaściwie zarządzane Podstawowym ryzykiem w każdym przedsięwzięciu biznesowym jest nie uzyskanie przez nie zamierzonej wartości. Zgodnie z tym miernikiem, wiele firm zmaga się z poważnymi ryzykami O/O. W ankiecie Deloitte dotyczącej outsourcingu, 30% uczestników uznało, iż są niezadowoleni lub bardzo niezadowoleni z ich umów outsourcingowych. Ponadto, 39% respondentów przerwało kontrakt outsourcingowy transferując go do innego dostawcy. Dodatkowo kilka rosnących trendów zwiększyło ryzyka O/O: • Firmy obecnie polegają na podmiotach zewnętrznych i jednostkach offshoringowych nie tylko w zakresie konkretnych projektów i funkcji back-office, lecz coraz częściej w zakresie głównych procesów biznesowych. • Zwiększenie globalnej konkurencji w zakresie pozyskiwania utalentowanych pracowników przyczyniło się do niedoboru wykwalifikowanych pracowników na rynku lokalnym, co wymaga od firm koncentracji na strategii zarządzania ludzkim kapitałem w celu optymalizacji jakości i kosztu usług. • Wymagania regulacyjne zwiększyły ekspozycję w zakresie odpowiedzialności za wykroczenia i niewłaściwe wykonanie; w niektórych przypadkach wyższe kierownictwo i zarząd może być odpowiedzialne za niezgodność związaną z działaniami podmiotu zewnętrznego. • Piractwo, łamanie bezpieczeństwa oraz kradzież informacji może negatywnie wpłynąć na wartość marki, własność intelektualną oraz inne wartości niematerialne i prawne, w które firmy znacznie więcej inwestowały w ubiegłych latach. • Bardziej zmienne otoczenie polityczne w niektórych popularnych lokacjach offshoringowych zwiększa ryzyko, że zamieszki, terroryzm lub związane z nimi wydarzenia zagrożą wartości produktów i rzeczowych składników aktywów, jak również stworzą klimat niestabilności uniemożliwiający efektywne i wydajne funkcjonowanie. • Insourcerzy de facto mogą przekształcić się w partnerów, jednak bez istniejących procesów analizy, raportowania oraz kontroli charakterystycznych dla rzeczywistych partnerów. By móc radzić sobie z tak kompleksowymi i dynamicznymi ryzykami, przedsiębiorstwa powinny wypracować holistyczne podejście do zarządzania ryzykiem w celu wspomagania podejmowania decyzji w zakresie O/O. 12 Skuteczne zarządzanie ryzykiem outsourcingu i offshoringu Dla Professional Risk Managers’ International Association © 2011 Deloitte Polska Cykl outsourcingu i offshoringu Cyklem O/O jest sekwencja decyzji i działań, która pozwala na wprowadzenie w życie określonej inicjatywy. Każdy etap cyklu O/O odznacza się występowaniem odmiennych ryzyk, które powinny być adresowane poprzez użycie specyficznych narzędzi, technik oraz taktyk ograniczających. Możemy w nim wyróżnić następujące etapy: Ocena strategiczna Ma na celu wypracowanie decyzji dlaczego, jak i w jakiej formie O/O może wspomóc strategię biznesową, oraz czy wewnętrzne możliwości organizacji pozwolą na wsparcie inicjatywy O/O. Badanie korzyści wdrożenia Analiza przewidywanych oszczędności oraz innych finansowych i operacyjnych korzyści z wdrożenia inicjatywy O/O. Wybór dostawcy Selekcja dostawcy usług O/O oparta o kryteria zdefiniowane w etapach Ocena strategiczna i Badanie korzyści wdrożenia. Zawieranie umowy Negocjowanie kontraktu, który pozwoli połączyć potrzeby i oczekiwania obydwu stron oraz zaadresuje zgodność i ryzyka zidentyfikowane w trzech poprzedzających etapach. Przeniesienie usług, świadczenie usług oraz zarządzanie inicjatywą po migracji Zarządzanie migracją usług lub rozpoczęciem świadczenia usług przez podmiot zewnętrzny bądź centrum offshoringowe. Ciągłe monitorowanie jakości i ryzyk wynikających z relacji biznesowej w oparciu o kontrakt oraz umowę o świadczenie usług (SLA). Kontrola osiągania celów strategicznych. 13 Skuteczne zarządzanie ryzykiem outsourcingu i offshoringu Dla Professional Risk Managers’ International Association © 2011 Deloitte Polska Ryzyka na poszczególnych etapach cyklu O/O i sposoby zarządzania nimi Mimo że poszczególne ryzyka są przyporządkowane do kolejnych etapów cyklu O/O nie można zapominać, że zarówno ryzyka, jak też etapy są ze sobą połączone. Z tego względu proces rozpoznania ryzyka powinien zostać przeprowadzony na początku cyklu O/O w oparciu o inteligentne podejście do zarządzania ryzykiem. Kluczowa jest identyfikacja i klasyfikacja potencjalnych ryzyk na dwóch pierwszych etapach cyklu: Ocenie strategicznej i Badaniu korzyści wdrożenia. Dzięki temu, podczas kolejnych etapów możliwe będzie skupienie się na ocenie i ograniczaniu ryzyka, a nie na jego identyfikacji. Większość niepowodzeń w zarządzaniu ryzkiem O/O wynika z niepoprawnej identyfikacji ryzyka we wstępnych etapach cyklu O/O. Poniższy rysunek przedstawia przykłady głównych ryzyk występujących na poszczególnych etapach cyklu O/O. Wymienione ryzyka stanowią jedynie wzór, możliwe jest wystąpienie także odmiennych typów ryzyka. Etap 1: Ocena strategiczna • Cele inicjatywy O/O niezgodne z założeniami kompleksowej strategii biznesowej przedsiębiorstwa. Etap 2: Badanie korzyści wdrożenia • Błędne założenia odnośnie inicjatywy O/O, dotyczące np. przewidywanych oszczędności, okresu zwrotu z inwestycji, bądź nakładów pozwalających na zbudowanie mechanizmów zarządzania i oceny inicjatywy. Etap 3: Wybór dostawcy • Wypracowane kryteria odnośnie wyboru dostawcy nie odpowiadają celom i ryzykom inicjatywy O/O; niepowodzenie w przeprowadzeniu dokładnego procesu due diligence. Etap 4: Zawieranie umowy • Klauzule umowy dotyczące poziomu usług, warunków, kompetencji pracowników dostawcy, bezpieczeństwa, zachowania tajemnicy oraz wypowiadania umowy są błędne bądź nie występują. Brak zapisów dotyczących mierzenia jakości usług O/O w umowie SLA. Etap 5: Przeniesienie usług, świadczenie usług oraz zarządzanie inicjatywą po migracji • Brak poprawnego planowania migracji bądź nieodpowiednie zarządzanie inicjatywą może prowadzić do niskiej jakości dostarczanych usług, przekroczenia kosztów oraz innych rezultatów obniżających wartość inicjatywy. 14 Skuteczne zarządzanie ryzykiem outsourcingu i offshoringu Dla Professional Risk Managers’ International Association © 2011 Deloitte Polska Przykładowa kategoryzacja ryzyk inicjatyw O/O Opis, czynniki i przykłady Kategoria Operacyjne Zgodność świadczenia przez insourcera usług z celami strategicznymi zleceniodawcy Podejmowanie przez podmiot zewnętrzny zamierzonych działań nakierowanych na maksymalizację swoich zysków kosztem zleceniodawcy: − Zamierzone świadczenie usług poniżej uzgodnionego standardu przy niezmienionych żądaniach odnośnie wynagrodzenia (poaching) − Czerpanie przez zleceniobiorcę korzyści z danych udostępnionych przez zleceniodawcę w celu umożliwienia mu świadczenia usług w ramach projektu bez wiedzy i zgody outsourcera (shirking) − Wymuszanie przez usługodawcę korzystnych dla niego zmian umowy w przypadku braku alternatywy odnośnie wyboru partnera outsourcingowego (vendor holdup) Niebezpieczeństwo podlegania przez zleceniodawcę sankcjom prawnym w razie uchybienia wymogom określonym przepisami ustawy lub przez regulatora (w szczególności naruszenie przez usługodawcę przepisów prawa chroniących np. tajemnicę bankową, dane osobowe, konsumenta czy wyznaczających normy ostrożnościowe) Trudności regulatora w sprawowaniu jego obowiązków w zakresie efektywnego nadzoru (dostęp do danych i informacji odnoszących się do zleceniobiorcy w zakresie świadczonych przez niego usług) Umowa outsourcingowa (np. sztuczne utrzymywanie relacji do końca przewidzianego okresu niekorzystne dla stron) Odpowiedzialność zleceniodawcy wobec klientów za szkody im wyrządzone wskutek niewykonania lub nienależytego wykonania umowy outsourcingowej przez podmiot zewnętrzny Strategiczne Prawne Uchybianie przez usługodawcę przewidzianym standardom (określonym przez ustawodawcę, regulatora lub umowę), które mogą wpłynąć na postrzeganie organizacji na rynku Najpoważniejsze niebezpieczeństwo związane ze stosowaniem outsourcingu Skutki zaistnienia wszelkich pozostałych ryzyk Ryzyko braku strategii wyjścia Lokalizacja usługodawcy (np. inne państwo – czynniki polityczne, społeczne, kulturowe, regulacje prawne) Ryzyko koncentracji i systemowe (skupienie usług w ręku małej liczby usługodawców) Utraty reputacji Inne Zagrożenia wywołane przez ludzi, procesy wewnętrzne, systemy i siłę wyższą Czynniki: zamierzone przez usługodawcę oszustwa i jego błędy, złożoność świadczonych usług, geograficzne oddalenie między kontrahentami, odmienność kulturowa, ograniczenia w komunikacji między partnerami outsourcingowymi i ich systemami Szanse: infrastruktura zapasowa i plany awaryjne Opracowanie własne na podstawie: M. Piwko, „Outsourcing elementem zarządzania ryzykiem w banku”, Warszawa, maj 2007 15 Skuteczne zarządzanie ryzykiem outsourcingu i offshoringu Dla Professional Risk Managers’ International Association © 2011 Deloitte Polska Ryzyka na poszczególnych etapach cyklu O/O i sposoby zarządzania nimi Dostosowanie procesu zarządzania ryzykiem do cyklu O/O pozwala na uwzględnienie interakcji pomiędzy poszczególnymi etapami cyklu, a przez to na identyfikację, ocenę, sklasyfikowanie oraz ograniczenie ryzyka na właściwym etapie. Przedsiębiorstwa, które nie stosują analogicznego podejścia, wykazują tendencję do pomijania licznych aspektów procesu zarządzania ryzykiem, wliczając w to: • Podczas Etapu 1: konieczność strategicznego dostosowania oraz oszacowania poziomu ryzyka szczątkowego przy podejmowaniu decyzji o podjęciu inicjatywy O/O oraz konieczność oceny luk w zasobach, procesach, możliwościach i kulturze organizacyjnej. • Podczas Etapu 2: czynniki kosztowe, przewidywana efektywność w ograniczaniu ryzyka oraz ciągłe zarządzanie rozwojem relacji biznesowej, a także kontrola osiągania dodatkowej wartości biznesowej. • Podczas Etapu 3: wykorzystanie procesu wyboru dostawcy w celu aktywnego zarządzania ekspozycją na ryzyko operacyjne i zgodności. • Podczas Etapu 4: opracowanie umowy adresującej ryzyka wykonania usługi O/O, zgodności oraz dostarczenia usług. • Podczas Etapu 5: właściwe planowanie migracji usług oraz efektywne zarządzanie zmianą. Dostosowanie procesu zarządzania inicjatywą O/O do oczekiwań obydwu stron umowy, zapewnienie nadzoru nad dostawcą usług oraz ciągłe usprawnianie procesu O/O. Kolejne slajdy rozwiną temat inteligentnego podejścia do zarządzania ryzykiem w ramach poszczególnych etapów cyklu O/O. 16 Skuteczne zarządzanie ryzykiem outsourcingu i offshoringu Dla Professional Risk Managers’ International Association © 2011 Deloitte Polska Inteligentne zarządzanie ryzykiem na Etapie 1 Ocena strategiczna Podczas oceny inicjatywy O/O pod kątem osiągania strategicznych celów biznesowych należy oszacować, czy pomoże ona – lub nie – w osiągnięciu zamierzonych celów. Tego typu ocena pozwoli również na zdefiniowanie wymagań, które należy postawić dostawcy usług, wybór właściwego dostawcy oraz sprecyzowanie pożądanego poziomu świadczenia usług. By móc przeprowadzić wspomnianą ocenę, należy przewidzieć główne punkty decyzyjne i ryzyka na poszczególnych etapach cyklu O/O. Następnie powinno się ocenić możliwe do wdrożenia modele O/O oraz dostępność zasobów i możliwości potrzebnych do wsparcia i monitorowania wdrażania inicjatywy. Ten najwcześniejszy etap procesu jest najwłaściwszym, by zestawić strategiczne cele biznesowe z ryzykami inicjatywy O/O oraz wymaganymi działaniami ograniczającymi poziom ryzyka. Na tym etapie kluczowe jest udzielenie odpowiedzi na dwa podstawowe pytania: • Jakie ryzyka szczątkowe będą wynikać z decyzji o wybraniu określonego modelu O/O? Ryzyka te będą zależeć od charakteru i skali usług podlegających outsourcing’owi bądź offshoring’owi i powinny podlegać procesowi zarządzania ryzykiem w kolejnych fazach. • Jaki poziom wewnętrznych zasobów i możliwości możemy przeznaczyć na wsparcie wybranej strategii O/O? Przedsiębiorstwa, które nie przeznaczają odpowiednich zasobów i możliwości na wsparcie podjętych inicjatyw O/O ryzykują niepowodzeniem przedsięwzięcia. 17 Skuteczne zarządzanie ryzykiem outsourcingu i offshoringu Dla Professional Risk Managers’ International Association © 2011 Deloitte Polska Inteligentne zarządzanie ryzykiem na Etapie 1 Ocena strategiczna Oddolne ewentualności: Jeżeli cele inicjatywy O/O nie są dostosowane do strategii biznesowej, lub jeżeli ryzyka nie są właściwie identyfikowane i ograniczane, inicjatywa nie wesprze strategii biznesowej, a w niektórych przypadkach nawet ją osłabi. Takie przypadki nie są odosobnione. W ankiecie Deloitte aż 39% spośród 300 przepytanych przedstawicieli wyższego szczebla zarządzającego stwierdziło, że gdyby mogło zmienić podjęte inicjatywy O/O, lepiej zdefiniowałoby i dostosowało cele biznesowe do podejmowanej inicjatywy. W niektórych przypadkach powyższe niedostosowanie może podważyć całą inicjatywę O/O. Wspomniana ankieta wykazała, że aż 50% spośród przedsiębiorstw, które były niezadowolone bądź bardzo niezadowolone z rezultatów ich największej umowy O/O przywróciło wcześniej wyoutsourcowaną funkcję. Co Twoja organizacja zrobiłaby inaczej jeśli musiałaby ponownie podjąć inicjatywę O/O 49% 50% 45% 40% 35% 30% 25% 20% 15% 10% 5% 0% 39% 37% 35% 23% 22% 20% Zdefiniowanie realistycznych poziomów usług zgodnych z celami biznesowymi Zdefiniowanie i uzgodnienie celów biznesowych ze strategią outsourcingową Opracowanie planu i przydzielenie pracowników do zarządzania usługą i kontraktem Poświęcenie większej ilości czasu na wybór i ocenę dostawcy usługi Skorzystanie z pomocy doświadczonego doradcy zewnętrznego Wcześniejszy outsourcing Porównanie kosztów outsourcingu z wewnętrznymi 18 Skuteczne zarządzanie ryzykiem outsourcingu i offshoringu Dla Professional Risk Managers’ International Association © 2011 Deloitte Polska Inteligentne zarządzanie ryzykiem na Etapie 1 Ocena strategiczna Odgórne okazje: Właściwie przeprowadzony proces oceny strategicznej pozwala na ograniczenie pochopnych decyzji, które mogą skutkować nieodpowiednimi inicjatywami O/O. Proces oceny ma za zadanie wykazać, w jaki sposób wysiłki włożone w projekt O/O wspierają strategię organizacyjną oraz pozwalają na zaadresowanie zidentyfikowanych słabości. Rygorystyczna ocena strategiczna umożliwia również uzyskanie całościowego widoku na inicjatywę O/O, wykraczając poza oszczędność kosztów i eliminując zbędne bądź nakładające się inicjatywy. W ten sposób możliwe jest uniknięcie najczęstszego ograniczenia inicjatyw O/O, czyli skupiania się jedynie na oszczędności kosztów. Co więcej, dzięki właściwemu procesowi oceny można wystrzec się także potencjalnych problemów wynikających z przeznaczenia na wdrożenie inicjatywy O/O niewystarczających zasobów lub możliwości. Lepsza alokacja zasobów przy zachowaniu wysokiej jakości usług O/O pozwala na osiąganie lepszych rezultatów biznesowych w stosunku do wykorzystujących inicjatywy O/O konkurentów. 19 Skuteczne zarządzanie ryzykiem outsourcingu i offshoringu Dla Professional Risk Managers’ International Association © 2011 Deloitte Polska Inteligentne zarządzanie ryzykiem na Etapie 1 Ocena strategiczna Wskazówki inteligentnego zarządzania ryzykiem w ramach Etapu 1 Ocena strategiczna Kluczowe dla inteligentnego zarządzania ryzykiem na etapie Oceny strategicznej jest podjęcie decyzji o tym, co chcemy osiągnąć na strategicznym poziomie oraz czy i jak dana inicjatywa O/O jest w stanie w tym pomóc. Inicjatywy O/O mogą wesprzeć strategię biznesową bądź rozwiązać doraźny problem. Fundamentem dla sukcesu projektu O/O jest połączenie wyboru dostawcy, warunków umowy oraz wsparcia w postaci zasobów i możliwości z krótko- i długoterminowymi celami biznesowymi, jakiekolwiek by one nie były. W celu stworzenia środowiska przyjaznego dla inteligentnego podejścia do zarządzania ryzykiem w Ocenie strategicznej należy: • Zintegrować formalną strategię przedsiębiorstwa w odniesieniu do inicjatyw O/O ze strategią biznesową • Dopasować organizacyjną wizję procesu O/O z zasobami, które mogą być przeznaczone na wsparcie określonej inicjatywy; zainwestować w stworzenie niezbędnych zasobów wewnętrznych lub pozyskać ekspercką pomoc z zewnątrz w celu stworzenia owych zasobów • Systematycznie włączać wypracowane techniki ograniczania ryzyka w działania prowadzone w ramach cykli O/O, wliczając wybór dostawców, zawieranie umowy, migrację usług i rutynowe czynności 20 Skuteczne zarządzanie ryzykiem outsourcingu i offshoringu Dla Professional Risk Managers’ International Association © 2011 Deloitte Polska Inteligentne zarządzanie ryzykiem na Etapie 2 Badanie korzyści wdrożenia Etap Badanie korzyści wdrożenia wynika bezpośrednio z Oceny strategicznej. Opiera się na przewidywaniach odnoszących się do celów biznesowych i powinien wybiegać poza operacyjne oszczędności kosztowe. Typowa inicjatywa O/O ma na celu: • zwiększenie elastyczności; • poprawienie technicznych, umiejętności zarządczych; • realokację wewnętrznych zasobów do działań generujących większą wartość; • skrócenie cyklu rozwoju produktów oraz poprawę rynkowej „zręczności”; • poszerzenie możliwości działania oraz • zwiększenie konkurencyjności i dodanie wartości dla akcjonariuszy. operacyjnych i procesowych Konkretna decyzja o wdrożeniu inicjatywy O/O powinna brać pod uwagę koszty zarządzania projektem, komunikacji, zarządzania zasobami ludzkimi, prawne, finansowe oraz wszystkie inne bezpośrednio związane z daną migracją usług. Wiele analiz nie uwzględnia pełnego spektrum kosztów. Podobnie jest z kosztami nadzoru i zarządzania, które są bagatelizowane przez wiele przedsiębiorstw. 21 Skuteczne zarządzanie ryzykiem outsourcingu i offshoringu Dla Professional Risk Managers’ International Association © 2011 Deloitte Polska Inteligentne zarządzanie ryzykiem na Etapie 2 Badanie korzyści wdrożenia Oddolne ewentualności: Wiele przedsiębiorstw (38% wg badania przeprowadzonego przez Deloitte) musiało ponosić dodatkowe bądź ukryte koszty za usługi, które początkowo zostały uznane za figurujące w umowie. Nieprawidłowe założenia odnośnie oszczędności kosztowych i okresu zwrotu również przyczyniały się do nietrafnych decyzji dotyczących inicjatyw O/O. Wymienione problemy mają miejsce w sytuacjach, gdy przedsiębiorstwa nie są w stanie zidentyfikować wszystkich kosztów związanych z wdrożeniem projektu O/O. Dodatkowo większość przedsiębiorstw pomija całościową analizę ryzyka, a przez to niepoprawnie oszacowuje koszty jego ograniczania. Ankieta Deloitte pokazuje skalę tego zjawiska: 63% ankietowanych nie przeprowadziło analizy kosztów wdrożenia ani oceny strategicznej w ramach wypracowywania decyzji o podjęciu inicjatywy O/O. Odgórne okazje: W przypadku, gdy idea wdrożenia inicjatywy O/O bazuje na prawidłowych założeniach, możliwe jest racjonalne porównanie dostępnych możliwości i podjęcie decyzji, czy dana funkcja rzeczywiście powinna być wyoutsourcowana. Znaczne sumy można zaoszczędzić na tym etapie analizy w przypadku odrzucenia błędnych decyzji, co może być jednak trudne w przypadku popularności inicjatyw O/O wśród innych członków organizacji. Należy pamiętać, że w przypadku uznania inicjatywy O/O za nieefektywną biznesowo, efektywna może okazać się jedna z inicjatyw alternatywnych. Tym samym uniknięcie potencjalnych strat związanych z projektem O/O może pozwolić na przeznaczenie zasobów na bardziej produktywne projekty. 22 Skuteczne zarządzanie ryzykiem outsourcingu i offshoringu Dla Professional Risk Managers’ International Association © 2011 Deloitte Polska Inteligentne zarządzanie ryzykiem na Etapie 2 Badanie korzyści wdrożenia Wskazówki inteligentnego zarządzania ryzykiem w ramach Etapu 2 Badanie korzyści wdrożenia By skutecznie zastosować inteligentne podejście do zarządzania ryzykiem na etapie Badanie korzyści wdrożenia, należy rozpocząć od analizy struktury zarządzania organizacją oraz zasobów niezbędnych do wdrożenia i nadzoru inicjatywy O/O. Podczas dokonywania oceny, należy przeprowadzić kompletną analizę ryzyk w celu ich identyfikacji, klasyfikacji, oceny oraz wypracowania potencjalnych działań ograniczających (odpowiedzi na ryzyko). Na tym etapie powinien zostać również oszacowany koszt mierzenia i ograniczania ryzyka. Podstawą dla biznesowo uzasadnionego wdrożenia inicjatywy O/O jest stworzenie formalnej metody szacowania korzyści i kosztów inicjatywy oraz przeprowadzenie rzetelnego procesu due diligence, by zweryfikować przyjęte założenia. Użyteczna może się także okazać klasyfikacja przewidywanych wydatków na jednorazowe i ciągłe (ponoszone przez cały okres trwania inicjatywy O/O). Inteligentne zarządzanie ryzykiem na etapie Badania korzyści wdrożenia powinno opierać się także na: • Przeglądzie wcześniejszych trafnych i chybionych decyzji o wdrożeniu inicjatyw O/O, podjętych zarówno przez organizację, jak również przez jej konkurentów • Weryfikacja założeń finansowych, operacyjnych i innych, na przykład przy wykorzystaniu danych dotyczących oszczędności uzyskiwanych dzięki wdrożeniu inicjatyw O/O przez podobne przedsiębiorstwa z naszej branży • Poprawnym przewidywaniu poziomu kosztów jednorazowych i ciągłych, włączając koszty mierzenia i ograniczania ryzyka 23 Skuteczne zarządzanie ryzykiem outsourcingu i offshoringu Dla Professional Risk Managers’ International Association © 2011 Deloitte Polska Inteligentne zarządzanie ryzykiem na Etapie 3 Wybór dostawcy W przypadku niepowodzenia inicjatywy O/O typowe jest obarczanie winą zewnętrznego dostawcy usług. Nie zawsze jest to zgodne z prawdą – wiele problemów może wynikać z niewłaściwego podejścia przedsiębiorstwa zlecającego usługi O/O. W szczególności jest ono odpowiedzialne za przypadki, gdy cele i wymagania dotyczące inicjatywy O/O nie są jasno sprecyzowane i zweryfikowane. Jeżeli tego typu podstawowe kwestie nie są uwzględnione, ryzyko niepowodzenia projektu O/O wydatnie się zwiększa. Wybór dostawcy jest newralgicznym etapem projektu O/O, ponieważ to właśnie zewnętrzny partner wprowadza w życie nasze plany. Dlatego należy przezwyciężyć skłonność do podejmowania szybkich decyzji i starannie przeanalizować dostępne możliwości. Przede wszystkim przed dokonaniem wyboru dostawcy usług należy zakończyć etap pierwszy – Ocenę strategiczną oraz etap drugi – Badanie korzyści wdrożenia. Następnymi krokami są dokładna analiza i dokonanie wyboru. Znaczące problemy mogą wyniknąć z faktu pośpiesznej selekcji dostawcy. Wynika to przeważnie z ustalania dostawcy z góry, bazując jedynie na analizie kosztów lub wyboru dostawcy, z którym utrzymywaliśmy wcześniej relacje biznesowe. Kolejnym powodem mogą być zapytania ofertowe, które nie bazują na konkluzjach z pierwszych dwóch etapów cyklu O/O – jest to nagminna sytuacja. Staranny dobór dostawcy może powodować różnicę między katastrofą, porażką, powodzeniem bądź ogromnym sukcesem przedsięwzięcia O/O, warto więc dołożyć starań, by przebiegł właściwie. 24 Skuteczne zarządzanie ryzykiem outsourcingu i offshoringu Dla Professional Risk Managers’ International Association © 2011 Deloitte Polska Inteligentne zarządzanie ryzykiem na Etapie 3 Wybór dostawcy Oddolne ewentualności: Niewłaściwy proces due diligence, podobnie jak nieścisłości między celami O/O, zidentyfikowanym ryzykiem i kryteriami wyboru dostawcy, mogą prowadzić do zawarcia nieoptymalnych – a przez to ryzykownych – relacji O/O. 44% przedsiębiorstw przebadanych w ankiecie Deloitte przyznało, że wyselekcjonowani dostawcy nie posiadali zdolności wymaganych do dostarczenia usług oczekiwanej jakości przy zachowaniu efektywności kosztowej. Wybór nieodpowiedniego dostawcy rodzi ryzyko powstania potrzeby przeprowadzenia procesu wyboru powtórnie, by naprawić popełniony błąd. W badaniu Deloitte aż 35% respondentów zadeklarowało, że przeznaczyłoby więcej czasu na etap wyboru dostawcy, gdyby mogli wrócić do początku cyklu O/O. Co Twoja organizacja zrobiłaby inaczej jeśli musiałaby ponownie podjąć inicjatywę O/O 49% 50% 45% 40% 35% 30% 25% 20% 15% 10% 5% 0% 39% 37% 35% 23% 22% 20% Zdefiniowanie realistycznych poziomów usług zgodnych z celami biznesowymi Zdefiniowanie i uzgodnienie celów biznesowych ze strategią outsourcingową Odgórne okazje: Opracowanie planu i przydzielenie pracowników do zarządzania usługą i kontraktem Jeżeli proces due diligence odnośnie zdolności świadczenia usług, możliwości i zasobów dostawcy zostanie prawidłowo przeprowadzony, szansa na spełnienie wymagań stawianych inicjatywie O/O znacznie się zwiększa. Poświęcenie większej ilości czasu na wybór i ocenę dostawcy usługi 25 Skorzystanie z pomocy doświadczonego doradcy zewnętrznego Wcześniejszy outsourcing Porównanie kosztów outsourcingu z wewnętrznymi Skuteczne zarządzanie ryzykiem outsourcingu i offshoringu Dla Professional Risk Managers’ International Association © 2011 Deloitte Polska Inteligentne zarządzanie ryzykiem na Etapie 3 Wybór dostawcy Wskazówki inteligentnego zarządzania ryzykiem w ramach Etapu 3 Wybór dostawcy Przy zawieraniu umów O/O należy pamiętać, że w momencie rozpoczęcia współpracy ryzyko dostawcy usług staje się własnym ryzykiem. Nawet w przypadku, gdy z prawnego punktu widzenia ryzyko jest przeniesione na dostawcę, odpowiedzialność pozostaje po stronie podmiotu zlecającego. Dlatego też proces due diligence powinien, na ile to możliwe, ocenić zdolność dostawcy do zarządzania ryzykiem, podobnie jak ocenia zdolności operacyjne, zarządzania i raportowania. Ocena ta powinna zawierać sprawdzenie gotowości operacyjnej dostawcy do rozpoczęcia świadczenia usług i zdolności do wywiązania się z zapisów umowy, a także umiejętności dostosowania się do wymagań prawnych obowiązujących we wszystkich właściwych obszarach. Należyty proces selekcji powinien także w większości przypadków opierać się na: • Rozważeniu podjęcia danej inicjatywy O/O na poziomie całej organizacji zamiast doraźnych decyzji na poziomie poszczególnych jednostek biznesowych • Zapytaniu ofertowym z jasno zdefiniowanymi wymaganiami obejmującym wymagania w zakresie jakości usług oraz bezpieczeństwa, odzyskiwania danych, audytu i kontroli • Weryfikacji wstępnych założeń, przeglądzie operacyjnych możliwości zapewnienia jakości oraz analizie wrażliwości proponowanych cen • Ocenie planów ciągłości działania dostawcy w świetle zmieniających się źródeł ryzyka dla działalności • Strategiach wyjścia i zmiany dostawcy Kluczową rolę w ocenie mechanizmów kontroli wewnętrznej zaimplementowanych u potencjalnego dostawcy usług w trakcie procesu due diligence oraz podczas trwania umowy O/O powinni pełnić audytorzy wewnętrzni. Dostępność informacji może być oczywiście ograniczona w czasie poprzedzającym zawarcie umowy, jako że potencjalny dostawca może być niechętny do przekazywania newralgicznych danych przed formalnym wejściem porozumienia w życie. Mimo to należy dołożyć wszelkich starań, by uzyskać dostęp do informacji wystarczających, aby pozwolić na zapewnienie poprawnego działania systemu kontroli wewnętrznej dostawcy. 26 Skuteczne zarządzanie ryzykiem outsourcingu i offshoringu Dla Professional Risk Managers’ International Association © 2011 Deloitte Polska Inteligentne zarządzanie ryzykiem na Etapie 3 Wybór dostawcy Obszary podlegające ocenie podczas Etapu 3 obejmują: 27 Środowisko kontroli i struktura zarządzania u dostawcy usług • Czy oczekiwania dostawcy i jego kodeks postępowania są zbieżne z naszymi? Czy są one przestrzegane? • Czy struktura, kompetencje i doświadczenie dostawcy są wystarczające do świadczenia wymaganych przez nas usług? • Czy dostawca przeprowadza cykliczną ocenę ryzyka, uwzględniającą czynniki wpływające na zdolność do świadczenia usług dla klientów O/O? Praktyki dostawcy usług w zakresie bezpieczeństwa, ochrony prywatności i ciągłości działania • Czy jest stosowana kompleksowa kontrola bezpieczeństwa informacji bazująca na wymaganiach klienta usług O/O i ocenie ryzyka dostawcy usług O/O? • Jak przebiega komunikowanie polityki bezpieczeństwa i wynikających z niej wytycznych? Jak jest weryfikowane działanie prowadzonych kontroli? Operacyjna zdolność dostawcy do świadczenia usług • Czy proces świadczenia usług jest odpowiednio dokumentowany? Czy funkcje i obowiązki po stronie klienta i dostawcy usług są jasno zdefiniowane? • Czy istnieje mechanizm kontrolny weryfikujący sprawozdawczość i rozliczenia wynikające z zapisów umowy o świadczenie usług? • Czy procesy zarządzania zmianą, zarządzania incydentami oraz eskalacji i rozwiązywania problemów są sformalizowane? Praktyki dostawcy w zakresie zarządzania zasobami ludzkimi • Czy praktyki zatrudniania, wynagradzania, szkolenia i zwalniania pracowników przez dostawcę usług są odpowiednio kontrolowane i zgodne z lokalnym prawem? Czy są one dostosowane do praktyk obowiązujących u klienta usług O/O? Program zarządzania ryzykiem dostawcy (VRM Vendor Risk Management) • Czy posiadamy sformalizowany program zarządzania ryzykiem dostawcy? • Czy program uwzględnia ryzyka globalnego modelu świadczenia usług? • Czy ryzyka dostawcy usług są regularnie poddawane przeglądowi na podstawie danych uzyskanych podczas oceny ryzyka? Skuteczne zarządzanie ryzykiem outsourcingu i offshoringu Dla Professional Risk Managers’ International Association © 2011 Deloitte Polska Inteligentne zarządzanie ryzykiem na Etapie 4 Zawieranie umowy Po tym, jak główne punkty umowy są ustalone, a ryzyka zidentyfikowane, formalne zawarcie porozumienia powinno być relatywnie łatwym etapem. Jest to rodzajem nagrody za wysiłek włożony w skrupulatny proces due diligence wynikający z właściwego przeprowadzenia trzech pierwszych etapów wdrożenia inicjatywy O/O. W wyniku zakończenia wspomnianych trzech etapów, konspekt umowy jest już przeważnie przygotowany (w formie wstępnego zarysu), czyniąc etap Zawieranie umowy wstępem do obopólnie korzystnej relacji biznesowej. Etap 4 nie jest czasem na próby naprawiania zaniechań i błędów popełnionych w ramach Oceny strategicznej czy też Wyboru dostawcy; niemniej jednak znaczna część przedsiębiorstw próbuje go w tym celu wykorzystać. 28 Skuteczne zarządzanie ryzykiem outsourcingu i offshoringu Dla Professional Risk Managers’ International Association © 2011 Deloitte Polska Inteligentne zarządzanie ryzykiem na Etapie 4 Zawieranie umowy Oddolne ewentualności: Podstawowych problemów mogą przysporzyć stronom brakujące bądź nieadekwatne zapisy umowy dotyczące m.in.: • poziomu usług, • zarządzania migracją, • zasobów personalnych dostawcy, • planów bezpieczeństwa, ochrony prywatności oraz awaryjnych, • zabezpieczenia ceny, • „klauzuli audytowej”, • wypowiadania umowy. Z drugiej strony umowa może być również na tyle nieelastyczna, że niewykonalna staje się jej aktualizacja, mimo iż sam kontrakt taką możliwość gwarantuje. Negocjacje prowadzone w dobrej wierze i obopólnie opłacalne porozumienie mogą zmniejszyć obydwa ryzyka. 49% respondentów badania Deloitte przyznało, że poświęciłoby więcej czasu na zdefiniowanie realistycznych, zbieżnych z celami biznesowymi organizacji poziomów usług O/O, gdyby mogło wrócić do początku procesu wdrażania inicjatywy O/O. 29 Co Twoja organizacja zrobiłaby inaczej jeśli musiałaby ponownie podjąć inicjatywę OO 49% 50% 45% 40% 35% 30% 25% 20% 15% 10% 5% 0% 39% 37% 35% 23% 22% 20% Zdefiniowanie realistycznych poziomów usług zgodnych z celami biznesowymi Zdefiniowanie i uzgodnienie celów biznesowych ze strategią outsourcingową Opracowanie planu i przydzielenie pracowników do zarządzania usługą i kontraktem Poświęcenie większej ilości czasu na wybór i ocenę dostawcy usługi Skorzystanie z pomocy doświadczonego doradcy zewnętrznego Wcześniejszy outsourcing Porównanie kosztów outsourcingu z wewnętrznymi Skuteczne zarządzanie ryzykiem outsourcingu i offshoringu Dla Professional Risk Managers’ International Association © 2011 Deloitte Polska Inteligentne zarządzanie ryzykiem na Etapie 4 Zawieranie umowy Odgórne okazje: Jasno zdefiniowane kontrakty, wraz z SLA i zrównoważonymi kartami wyników (balanced scorecard), umożliwiają obydwu stronom klarowne określenie wzajemnych wymagań i pozwalają na zrozumiałe monitorowanie wzajemnych działań podejmowanych na mocy umowy. Pozwala to na przeprowadzenie etapu w duchu przejrzystości i współpracy, unikając ograniczeń. Jasne, uczciwe umowy są istotne także dla stworzenia użytecznego programu zarządzania ryzykiem kontraktowym (CRC – contract risk and compliance program), wykorzystywanego podczas trwania relacji O/O. Elementy programu CRC Efektywny program zarządzania ryzykiem kontraktowym składa się z połączeń, struktur, procesów i interakcji z partnerami zewnętrznymi. Służy do szacowania wartości relacji i zarządzania ryzykiem wspólnych przedsięwzięć biznesowych. Jest sformalizowanym programem określania celów i tworzenia mierników sukcesu poprzez monitorowanie wykonywanych działań i poziomu ryzyka oraz określenie „właścicielstwa” i odpowiedzialności zasobów personalnych obydwu stron umowy. Podstawowe czynności składające się na efektywny program CRC obejmują: • wyjaśnienie celów biznesowych, ryzyk, prowadzonych kontroli oraz korzyści dla każdego z partnerów • zapewnienie wzajemnego zrozumienia w zakresie zgodności i niezgodności z umową • weryfikacja dokładności informacji uzyskanych od partnerów biznesowych • przeprowadzenie oceny ryzyka i przeglądu kontroli u partnera biznesowego Szczegółowe wymagania i działania różnią się ze względu na charakter relacji biznesowej, jednak podstawową ideą programu CRC pozostaje realizacja wartości i zarządzanie ryzykiem. 30 Skuteczne zarządzanie ryzykiem outsourcingu i offshoringu Dla Professional Risk Managers’ International Association © 2011 Deloitte Polska Inteligentne zarządzanie ryzykiem na Etapie 4 Zawieranie umowy Wskazówki inteligentnego zarządzania ryzykiem w ramach Etapu 4 Zawieranie umowy Sytuacją idealną jest taka, w której obydwie strony umowy O/O postrzegają jej zawarcie jako ogniwo spajające obopólnie korzystną, długofalową relację. Strony umowy powinny ją tworzyć przy uwzględnieniu założeń programu CRC, który będzie wykorzystywany do administrowania relacją biznesową (jeżeli program CRC nie istnieje, należy go opracować przed zawarciem pierwszej umowy O/O). Inteligentne zarządzanie ryzykiem na etapie Zawieranie umowy zależy od jakości zapisów umowy oraz środków monitorowania wynikających z niej zobowiązań, co z kolei jest pochodną właściwego przeprowadzenia pierwszych trzech etapów cyklu O/O. Tym samym, wymagania dotyczące bezpieczeństwa i kontroli wynikające ze specyfiki relacji O/O oraz obowiązujących standardów, polityk i procedur powinny być jasno zdefiniowane. Organizacje, które próbują zaimplementować wymagania dotyczące kontroli w późnym stadium Etapu 4, lub co gorsza po zawarciu umowy ponoszą dodatkowe koszty i ryzykują ponadplanowymi trudnościami. Ponadto, inteligentne zarządzanie ryzykiem na Etapie 4 wymaga: • Połączenia kryteriów wydajności oraz mierników SLA z wartością biznesową • Wypracowania mechanizmów zarządzania zmianami wolumenu oraz wahaniami kosztów (zwiększenia i zmniejszenia) • Zawarcia w umowie warunków płatności, wliczając rodzaj waluty i kursy wymiany • Sprawdzenia wymogów prawnych, umownych i ubezpieczeniowych oraz jasnego sformułowania skutków niezgodności z nimi • Zawarcia w umowie zapisów o prawie do weryfikacji wydajności dostawcy w odniesieniu do postanowień umowy • Zawarcia w umowie warunków rozwiązania umowy w przypadku takiej decyzji którejś ze stron 31 Skuteczne zarządzanie ryzykiem outsourcingu i offshoringu Dla Professional Risk Managers’ International Association © 2011 Deloitte Polska Inteligentne zarządzanie ryzykiem na Etapie 5 Przeniesienie usług, świadczenie usług oraz zarządzanie inicjatywą po migracji Przeniesienie usług Przeniesienie (migracja) usług jest krytycznym momentem cyklu O/O, a jego powodzenie zależy od jakości wcześniej podjętych działań. Jeżeli wysiłki nie są zbieżne ze strategią biznesową, a korzyści wdrożenia są niewłaściwie oszacowane, lub jeśli wybrano nieodpowiedniego dostawcę usług bądź wadliwie skonstruowano umowę, wynik przedsięwzięcia jest zagrożony. Jeżeli jednak wszystkie wcześniejsze etapy przeprowadzono prawidłowo, wciąż pozostaje do wykonania szereg działań. Oddolne ewentualności: Brak formalnego planu przeniesienia usług może utrudnić transfer wiedzy, zarządzanie zmianą oraz rozwiązywanie problemów, a także utrzymanie kluczowych pracowników. Ankieta Deloitte wykazała, że 20% organizacji zlecających usługi O/O doświadczyło nadmiernie wysokiego poziomu rotacji pracowników dostawcy usług przy jednoczesnym zmniejszaniu bazy wiedzy. Co więcej, nieprawidłowo przeprowadzone przeniesienie usług może skutkować nadwyrężeniem stosunków z klientami, pracownikami oraz pozostałymi interesariuszami. Odgórne okazje: Odpowiednie planowanie i zarządzanie pozwala na utrzymanie w ryzach kosztów oraz ryzyka przeniesienia usług, stanowi podstawę wydajnych relacji i pozwala na utrzymanie bazy wiedzy. Faza Przeniesienia usług umożliwia również usprawnienie dotychczas funkcjonujących operacji oraz (w niektórych przypadkach) udoskonalenie i przeniesienie procesów lub systemów do dostawcy usług w efektywny kosztowo sposób. 32 Skuteczne zarządzanie ryzykiem outsourcingu i offshoringu Dla Professional Risk Managers’ International Association © 2011 Deloitte Polska Inteligentne zarządzanie ryzykiem na Etapie 5 Przeniesienie usług, świadczenie usług oraz zarządzanie inicjatywą po migracji Przeniesienie usług – wskazówki inteligentnego zarządzania ryzykiem Najważniejszymi aspektami tej fazy są: • planowanie przeniesienia usług, • transfer wiedzy, • szkolenie oraz • utrzymanie kluczowych pracowników. Użyteczne jest przeprowadzenie w jej trakcie oceny wyników w stosunku do wcześniej zdefiniowanych kryteriów. Kryteria powinny obejmować wgląd w operacje i system zarządzania dostawcy, jakość procesu planowania, przestrzeganie terminów, spełnienie wymagań jakościowych oraz komunikowanie napotkanych problemów. Umowa o świadczenie usług (SLA) może zostać uzupełniona o wymienione aspekty. Najogólniej, kluczem do udanej migracji usług jest efektywne przekazanie wiedzy oraz akceptacja obowiązków na poziomie jednostek. Wymaga to proaktywnego programu zarządzania zmianą w obszarze zasobów ludzkich, do czego wiele przedsiębiorstw nie jest przygotowanych. W ankiecie Deloitte aż 75% dostawców usług O/O stwierdziło, że ich klienci nie byli dobrze przygotowani na rozpoczęcie umowy O/O. Inteligentne zarządzanie ryzykiem w fazie Przeniesienia usług pozwala na: • Przeprojektowanie procesów i systemów przed przeniesieniem usług lub wykorzystanie migracji do takiego przeprojektowania zgodnie z przyjętym planem • Monitorowanie dokonań dostawcy i wyznaczenie odpowiednich oczekiwań odnośnie komunikacji i zgodności przy użyciu programu CRC • Ocenę fazy pod kątem „poprawności” bądź „niepoprawności” jej przeprowadzania, szczególnie w obszarach transferu wiedzy i zasobów ludzkich • Wysunięcie (bądź wspólne opracowanie) planu naprawczego adresującego zidentyfikowane nieprawidłowości 33 Skuteczne zarządzanie ryzykiem outsourcingu i offshoringu Dla Professional Risk Managers’ International Association © 2011 Deloitte Polska Inteligentne zarządzanie ryzykiem na Etapie 5 Przeniesienie usług, świadczenie usług oraz zarządzanie inicjatywą po migracji Świadczenie usług oraz zarządzanie inicjatywą po migracji Ta ostatnia faza cyklu O/O może się wydawać „szczęśliwym końcem” procesu, nie należy jednak zapominać, że produktywność i korzyści płynące z trwającej relacji biznesowej w dużej mierze zależą od poświęcanej relacji uwagi. Nawet te inicjatywy O/O, których początek jest satysfakcjonujący są podatne na zaburzenia i tylko aktywny nadzór kierownictwa może uprzedzić lub odwrócić potencjalne negatywne trendy. Oznacza to konieczność ciągłego monitorowania jakości i terminowości otrzymywanych usług oraz weryfikacji zgodności z zapisami umowy, szczególnie w zakresie zarządzania ryzykiem (jak na przykład szkolenia i plany awaryjne). Oddolne ewentualności: Obniżająca się jakość usług, przekraczanie ustalonego poziomu kosztów oraz problemy ze zgodnością mogą być sygnałem zwiastującym potrzebę zmiany dostawcy bądź przywrócenia wyoutsourcowanej funkcji. Obydwa kroki wymagają jednak dodatkowych wydatków oraz poświęcenia uwagi kierownictwa, przez co najczęściej preferowana jest próba korekty istniejącej sytuacji. Jeżeli jednak dana funkcja O/O powinna zostać przeniesiona gdzie indziej, należy to uczynić. Taka decyzja może uchronić organizację przed poważnymi szkodami dla jej reputacji, marki, rynków, finansów oraz pozycji w świetle prawa. Odgórne okazje: Jeżeli relacja O/O jest efektywna, pozwala nie tylko na obniżenie kosztów i zwiększenie efektywności, lecz także na ciągły, obustronny transfer wiedzy oraz stymulację wzrostu i rentowności obydwu stron umowy. Co więcej, każda udana inicjatywa O/O, jeżeli jest dobrze komunikowana w organizacji, niesie za sobą porcję doświadczeń na przyszłość. Nietrafne inicjatywy są także źródłem doświadczeń, za które jednak należy zapłacić wysoką cenę. 34 Skuteczne zarządzanie ryzykiem outsourcingu i offshoringu Dla Professional Risk Managers’ International Association © 2011 Deloitte Polska Inteligentne zarządzanie ryzykiem na Etapie 5 Przeniesienie usług, świadczenie usług oraz zarządzanie inicjatywą po migracji Świadczenie usług oraz zarządzanie inicjatywą po migracji – wskazówki inteligentnego zarządzania ryzykiem Program ciągłego monitorowania prowadzony w celu weryfikacji zgodności z szeregiem oczekiwań i założeń (zakładając, że są one zawarte w umowie) pozwala na zwiększenie u stron umowy wzajemnego zaufania i uzyskanie pewności, że proces przebiega zgodnie z koncepcją. Ponadto proces kontroli może także zidentyfikować obopólnie korzystne możliwości zmiany (np. zwiększające satysfakcję klienta), o które należy rozszerzyć umowę w przypadku jej przedłużania. Program nadzoru powinien umożliwić wykrycie i raportowanie zaniedbań, zaniechań oraz niezgodności podczas całego okresu trwania umowy. Dotyczy to w szczególności: • struktury zarządzania z jasno określonymi rolami i zakresem odpowiedzialności; • przekrojowej integracji IT, działalności biznesowej, zgodności, bezpieczeństwa, ochrony prywatności i zakupów; • równowagi między scentralizowanymi standardami i lokalnymi wymaganiami w lokalizacjach O/O. Inteligentne zarządzanie ryzykiem inicjatywy O/O po migracji, w trakcie procesu dostarczania usług, powinno także: • Okresowo weryfikować zgodność z umową i SLA • Zostać wkomponowane w formalny, scentralizowany proces monitorowania i wdrażania rekomendacji • Ustanowić program zarządzania ryzykiem dostawcy (VRM Vendor Risk Management), który zapewni skuteczność i efektywność nadzoru dostawcy • Przypisać rolę monitorowania inicjatywy O/O po migracji pracownikom audytu wewnętrznego • Ustanowić i wdrożyć zapisy dotyczące kar grożących w przypadku zidentyfikowania niezgodności z umową 35 Skuteczne zarządzanie ryzykiem outsourcingu i offshoringu Dla Professional Risk Managers’ International Association © 2011 Deloitte Polska Skuteczne zarządzanie ryzykiem outsourcingu i offshoringu – podsumowanie Implementacja choćby kilku etapów zmierzających do inteligentnego zarządzania ryzykiem outsourcingu i offshoringu pozwoli lokować inicjatywy O/O wprowadzającego je przedsiębiorstwa na czele konkurentów. Wprowadzenie pełnego cyklu pozwoli na maksymalizację korzyści, ponieważ każdy z wchodzących w jego skład etapów bazuje na wynikach poprzedniego. Klarowna ocena strategiczna pozwala na rzetelne zbadanie korzyści wdrożenia, co z kolei sprzyja dokonaniu właściwej selekcji dostawcy i stworzeniu kompletnej umowy. Umowa ta, wraz z towarzyszącymi jej analizami, umożliwia płynne przeniesienie usług oraz pomyślne zarządzanie inicjatywą O/O po migracji. Outsourcing i offshoring oferują wiele potencjalnych korzyści. Godnym zauważenia jest jednak fakt, że odpowiedzialność kierownictwa, niezależnie od charakteru prowadzonych inicjatyw O/O, pozostaje niezmieniona. Wiele czynności może być przedmiotem usług O/O, nadzór musi być jednak zachowany. Najprościej mówiąc, nie można wyoutsourcować odpowiedzialności. Naturalnym jest uznawanie zarządzania ryzykiem za dodatkowy koszt, i w rzeczy samej proces ten wymaga dodatkowych nakładów finansowych, zasobów i uwagi kierownictwa. Niemniej jednak, biorąc pod uwagę stawkę outsourcingu i offshoringu – zarówno potencjalne korzyści, jak również ryzyko szczątkowe – inteligentne podejście do zarządzania ryzykiem jest najlepszą drogą do osiągania maksymalnych korzyści z inicjatyw O/O. Nawet pojedyncze kroki w tym kierunku mogą przynieść wymierne rezultaty. 36 Skuteczne zarządzanie ryzykiem outsourcingu i offshoringu Dla Professional Risk Managers’ International Association © 2011 Deloitte Polska Czy Twoja organizacja skutecznie zarządza ryzykami O/O? W jakim stopniu organizacja rozważa inicjatywy O/O w świetle strategicznych celów biznesowych? Czy tego typu inicjatywy są zasadniczo wykorzystywane do zmniejszenia kosztów i rozwiązywania bieżących problemów? Czy istnieje dla nich głębsze, strategiczne uzasadnienie? Czy organizacja posiada formalną strukturę zarządzania ryzykiem, pozwalającą na identyfikację i wypracowywanie odpowiedzi na ryzyko na każdym etapie cyklu O/O? Czy organizacja posiada sformalizowany program zarządzania ryzykiem dostawcy (VRM)? Czy zasoby potrzebne do zarządzania ryzykiem są alokowane na podstawie klasyfikacji ryzyka, a ryzyko dostawcy okresowo monitorowane w oparciu o taką klasyfikację? Czy organizacja posiada formalne ramy zarządzania ryzykiem oraz powtarzalny model oceny ryzyka, który może stosować do przyszłych decyzji i wdrożeń? 37 Czy zarządzanie inicjatywą O/O jest uwzględniane na poziomie organizacyjnym? Czy zarządzanie ryzykiem jest traktowane jako jednorazowy proces dla każdej inicjatywy? Czy są wypracowywane efektywne techniki ograniczania ryzyka bazujące na jego ocenie? Czy organizacja posiada sformalizowany program zarządzania ryzykiem kontraktowym (CRC)? Czy jest on stosowany zgodnie z założeniami? Czy organizacja wymaga od dostawców usług O/O regularnego przygotowywania raportów na temat poziomu świadczonych usług zgodnie z ustalonymi celami? Czy są ustalone kary za niezgodność z zawartymi umowami o świadczenie usług (SLA)? Czy decyzje o wdrożeniu inicjatyw O/O bazują na racjonalnych, weryfikowalnych założeniach? Czy wyniki analizy ryzyka w zakresie inicjatywy O/O są uwzględniane przy wyborze dostawcy, due diligence i zawieraniu umowy? Czy istnieje oddzielny, gruntowny plan migracji usług dla każdej inicjatywy O/O? Czy takie plany są wykorzystywane i analizowane pod kątem efektywności? Czy organizacja klasyfikuje wszystkie ryzyka inicjatyw O/O pod względem ich prawdopodobieństwa i potencjalnego wpływu? Czy właściwie alokuje zasoby potrzebne do zarządzania ryzykami inicjatyw O/O? Czy organizacja, na poziomie jednostki, zbiera i raportuje swoje doświadczenia z prowadzenia inicjatyw O/O, by wykorzystać wynikające z nich wnioski w kolejnych wdrożeniach? Skuteczne zarządzanie ryzykiem outsourcingu i offshoringu Dla Professional Risk Managers’ International Association Czy umowy O/O są jednostronne i bazują na uzyskaniu maksymalnych korzyści kosztem dostawców i partnerów, czy są zrównoważone? Czy uwzględniają globalne ryzyka świadczenia usług O/O? Czy dostawcy usług O/O są dokładnie badani i weryfikowani? Czy są wybierani na podstawie kryteriów kosztowych i istniejących relacji? Czy organizacja rozpatruje słabości obniżające wartość przedsięwzięcia O/O w trakcie jego oceny? Czy w organizacji została zbadana gotowość do prowadzenia projektów O/O? Czy luki między obecnymi możliwościami organizacji, a możliwościami potrzebnymi do optymalnego wykorzystania inicjatyw O/O zostały zidentyfikowane? Czy luki zostały zaadresowane? © 2011 Deloitte Polska Piotr Kaniewski Konsultant Enterprise Risk Services Deloitte Advisory Sp.z o.o. Tel: +48 (22) 511 02 71 Fax: +48 (22) 511 08 13 Tel. kom.: +48 605 600 546 E-mail: [email protected] Nazwa Deloitte odnosi się do jednej lub kilku jednostek Deloitte Touche Tohmatsu Limited, prywatnego podmiotu prawa brytyjskiego z ograniczoną odpowiedzialnością i jego firm członkowskich, które stanowią oddzielne i niezależne podmioty prawne. Dokładny opis struktury prawnej Deloitte Touche Tohmatsu Limited oraz jego firm członkowskich można znaleźć na stronie www.deloitte.com/pl/onas Deloitte świadczy usługi audytorskie, konsultingowe, doradztwa podatkowego i finansowego klientom z sektora publicznego oraz prywatnego, działającym w różnych branżach. Dzięki globalnej sieci firm członkowskich obejmującej 140 krajów oferujemy najwyższej klasy umiejętności, doświadczenie i wiedzę w połączeniu ze znajomością lokalnego rynku. Pomagamy klientom odnieść sukces niezależnie od miejsca i branży, w jakiej działają. 170 000 pracowników Deloitte na świecie realizuje misję firmy: stanowić standard najwyższej jakości. Specjalistów Deloitte łączy kultura współpracy oparta na zawodowej rzetelności i uczciwości, maksymalnej wartości dla klientów, lojalnym współdziałaniu i sile, którą czerpią z różnorodności. Deloitte to środowisko sprzyjające ciągłemu pogłębianiu wiedzy, zdobywaniu nowych doświadczeń oraz rozwojowi zawodowemu. Eksperci Deloitte z zaangażowaniem współtworzą społeczną odpowiedzialność biznesu, podejmując inicjatywy na rzecz budowania zaufania publicznego i wspierania lokalnych społeczności. 38 © 2011 Deloitte Polska