Skuteczne zarządzanie ryzykiem outsourcingu i offshoringu. Dla Professional Risk Managers International Association Piotr Kaniewski

Transkrypt

1 Skuteczne zarządzanie ryzykiem outsourcingu i offshoringu Piotr Kaniewski Marzec 2011

2 Agenda 1. Wprowadzenie 2. Oustourcing i Offshoring definicja 3. Kluczowe czynniki inicjatyw O/O 4. Metody zarządzania ryzykami O/O 5. Cykl O/O 6. Ryzyka na poszczególnych etapach cyklu O/O i sposoby zarządzania nimi 7. Podsumowanie 8. Czy Twoja organizacja skutecznie zarządza ryzykami O/O? 2

3 Wprowadzenie W ubiegłych latach wiele przedsiębiorstw zwiększyło wykorzystanie oraz zależność od usług outsourcingu i offshoringu (O/O). Taki układ powoduje zarówno ryzyka, jak i korzyści dla organizacji korzystających z tego rodzaju usług. Jednakże powodzenie inicjatyw outsourcingu i offshoringu nie musi opierać się na szczęściu. Istnieją kroki, których podjęcie umożliwia ograniczanie ryzyk i maksymalizację korzyści na każdym etapie cyklu O/O. Kroki te pozwalają na inteligentne zarządzanie ryzykami outsourcingu i offshoringu oraz pomagają ograniczyć szansę doświadczenia niepożądanego rezultatu w trakcie inicjatyw O/O. 3

4 Podstawa prawna outsourcing bankowy Ustawa z dnia 29 sierpnia 1997 r. Prawo bankowe: Art. 6a 1. Bank może, w drodze umowy zawartej na piśmie, powierzyć przedsiębiorcy lub przedsiębiorcy zagranicznemu, z zastrzeżeniem art. 6d, wykonywanie wyłącznie: 1) w imieniu i na rzecz banku pośrednictwa w zakresie czynności bankowych na podstawie umowy agencyjnej, polegającego na: a) zawieraniu i zmianie umów rachunków bankowych, o których mowa w art. 49 ust. 1 pkt 3, według wzoru zatwierdzonego przez bank, b) zawieraniu i zmianie umów kredytu na sfinansowanie inwestycji mającej na celu zaspokojenie własnych potrzeb mieszkaniowych kredytobiorcy w rozumieniu przepisów o podatku dochodowym od osób fizycznych, c) zawieraniu i zmianie umów kredytu konsumenckiego w rozumieniu ustawy z dnia 20 lipca 2001 r. o kredycie konsumenckim (Dz. U. Nr 100, poz oraz z 2003 r. Nr 109, poz. 1030), d) zawieraniu i zmianie umów ugody w sprawie spłaty kredytów, o których mowa w lit. b) i c), e) zawieraniu i zmianie umów dotyczących ustanowienia prawnego zabezpieczenia kredytów, o których mowa w lit. b) i c), f) zawieraniu i zmianie umów o kartę płatniczą, których stroną jest konsument w rozumieniu ustawy, o której mowa w lit. c), g) przyjmowaniu wpłat, dokonywaniu wypłat oraz obsłudze czeków związanych z prowadzeniem rachunków bankowych przez ten bank, h) dokonywaniu wypłat i przyjmowaniu spłat udzielonych przez ten bank kredytów i pożyczek pieniężnych, i) przyjmowaniu wpłat na rachunki bankowe prowadzone przez inne banki, j) przyjmowaniu dyspozycji przeprowadzania bankowych rozliczeń pieniężnych związanych z prowadzeniem rachunków bankowych przez ten bank, k) wykonywaniu innych czynności, po uzyskaniu zezwolenia Komisji Nadzoru Finansowego, 2) czynności faktycznych związanych z działalnością bankową. 2. Powierzenie wykonywania czynności, o którym mowa w ust. 1, nie może obejmować: 1) zarządzania bankiem w rozumieniu art ustawy z dnia 15 września 2000 r. Kodeks spółek handlowych (Dz. U. Nr 94, poz. 1037, z 2001 r. Nr 102, poz oraz z 2003 r. Nr 49, poz. 408 i Nr 229, poz. 2276), zwanej dalej Kodeksem spółek handlowych, oraz w rozumieniu art. 48 ustawy z dnia 16 września 1982 r. Prawo spółdzielcze (Dz. U. z 2003 r. Nr 188, poz. 1848), zwanej dalej ustawą Prawo spółdzielcze, a w szczególności zarządzania ryzykiem związanym z prowadzeniem działalności bankowej, w tym zarządzania aktywami i pasywami, dokonywania oceny zdolności kredytowej i analizy ryzyka kredytowego, 2) przeprowadzania audytu wewnętrznego banku. 3. Komisja Nadzoru Finansowego może udzielić bankowi zezwolenia, o którym mowa w ust. 1 pkt 1 lit. k), jeżeli powierzenie przez bank wykonywania innych czynności jest niezbędne do prowadzenia działalności bankowej w sposób ostrożny i stabilny lub istotnego obniżenia kosztów tej działalności. 4

5 Podstawa prawna outsourcing bankowy Ustawa z dnia 29 sierpnia 1997 r. Prawo bankowe: Art. 6b 1. Odpowiedzialności przedsiębiorcy lub przedsiębiorcy zagranicznego wobec banku za szkody wyrządzone klientom wskutek niewykonania lub nienależytego wykonania umowy, o której mowa w art. 6a ust. 1, nie można wyłączyć ani ograniczyć. 2. Odpowiedzialności banku za szkody wyrządzone klientom wskutek niewykonania lub nienależytego wykonania umowy, o której mowa w art. 6a ust. 1, nie można wyłączyć ani ograniczyć. Art. 6c 1. Powierzenie przez bank wykonywania stale lub okresowo czynności, o których mowa w art. 6a ust. 1, może nastąpić po spełnieniu następujących warunków: 1) bank zawiadamia Komisję Nadzoru Finansowego co najmniej z 14-dniowym wyprzedzeniem o zamiarze zawarcia umowy, o której mowa w art. 6a ust. 1, 2) zostanie zapewnione wykonywanie przez Komisję Nadzoru Finansowego efektywnego nadzoru nad wykonywaniem powierzonych czynności, 3) bank i przedsiębiorca lub przedsiębiorca zagraniczny będą posiadać plany działania zapewniające ciągłe i niezakłócone prowadzenie działalności w zakresie objętym umową, 4) powierzenie wykonywania czynności nie wpłynie niekorzystnie na prowadzenie przez bank działalności zgodnie z przepisami prawa, ostrożne i stabilne zarządzanie bankiem, skuteczność systemu kontroli wewnętrznej w banku, możliwość wykonywania obowiązków przez biegłego rewidenta upoważnionego do badania sprawozdań finansowych banku na podstawie zawartej z bankiem umowy oraz ochronę tajemnicy prawnie chronionej. Art. 6d 1. Zawarcie przez bank umowy, o której mowa w art. 6a ust. 1, z przedsiębiorcą zagranicznym niemającym miejsca stałego zamieszkania lub nieposiadającym siedziby na terytorium państwa członkowskiego albo umowy przewidującej, że powierzone czynności będą wykonywane stale lub okresowo za granicą, wymaga zezwolenia Komisji Nadzoru Finansowego udzielonego na wniosek banku. 4. Komisja Nadzoru Finansowego może odmówić wydania zezwolenia lub cofnąć zezwolenie, w przypadku gdy: 1) istnieje zagrożenie naruszenia tajemnicy prawnie chronionej, 2) w państwie, w którym powierzone czynności mają być wykonywane, obowiązujące prawo uniemożliwia Komisji Nadzoru Finansowego wykonywanie efektywnego nadzoru, 3) powierzenie wykonywania czynności może wpłynąć niekorzystnie na prowadzenie przez bank działalności zgodnie z przepisami prawa, ostrożne i stabilne zarządzanie bankiem, skuteczność systemu kontroli wewnętrznej w banku oraz możliwość wykonywania obowiązków przez biegłego rewidenta upoważnionego do badania sprawozdań finansowych banku na podstawie zawartej z bankiem umowy. 5

6 Podstawa prawna outsourcing bankowy Ustawa z dnia 29 sierpnia 1997 r. Prawo bankowe: Art. 9f Komisja Nadzoru Finansowego określi, w drodze uchwały, szczegółowe zasady funkcjonowania systemu zarządzania ryzykiem i systemu kontroli wewnętrznej. Uchwała Nr 383/2008 Komisji Nadzoru Finansowego z dnia 17 grudnia 2008 r. w sprawie szczegółowych zasad funkcjonowania systemu zarządzania ryzykiem i systemu kontroli wewnętrznej oraz szczegółowych warunków szacowania przez banki kapitału wewnętrznego i dokonywania przeglądów procesu szacowania i utrzymywania kapitału wewnętrznego: 13. W ramach realizowanych strategii i stosowanych procedur zarządzania ryzykiem bank wprowadza w szczególności: 8) w zakresie ryzyka operacyjnego: d) zasady zarządzania ryzykiem powierzenia wykonywania czynności podmiotom zewnętrznym; 6

7 Outsourcing i offshoring definicje Outsourcing Na potrzeby niniejszej prezentacji, termin outsourcing opisuje porozumienie organizacji (zleceniodawcy, outsourcera) z zewnętrznymi podmiotami (dostawcami, insourcerami) w celu wykonywania przez nich określonych funkcji lub procesów, obejmujących: outsourcing technologii informatycznych (ITO, ang. information technology outsourcing) rozwój aplikacji, utrzymanie, wsparcie produkcyjne, itp. outsourcing procesów biznesowych (BPO, ang. business process outsourcing) call center, zarządzanie zasobami ludzkimi, księgowość itp. Dostawcy usług outsourcingowych wykonują funkcje back-office lub front-office, w przeciwieństwie do tradycyjnej roli dostawcy związanej z dostarczaniem materiałów. Dostawcy O/O funkcjonują bardziej jako partnerzy biznesowi dostarczający usługi w imieniu organizacji. W efekcie są oni niejako jej poszerzeniem, co tworzy związek biznesowy określany czasami jako rozszerzone przedsiębiorstwo (ang. extended enterprise). Offshoring Na potrzeby niniejszej prezentacji, termin offshoring odnosi się do zmiany lokalizacji jednego lub wielu procesów lub funkcji na inną, zagraniczną lokację (przeważnie o niższym koszcie), włącznie ze spółkami zależnymi stanowiącymi centra usług wspólnych. W ramach definicji O/O występują różnorodne modele biznesowe (ich niektóre przykłady przedstawiono na kolejnym slajdzie). Niezależnie od wykorzystanego modelu biznesowego, zalety offshoringu mogą obejmować niższe koszty zatrudnienia lub operacyjne oraz inne korzyści. Offshoring również zawiera ryzyka, które przewyższają ryzyka związane z outsourcingiem lokalnym, włączając w to dostępność wykwalifikowanej kadry, ryzyka geopolityczne oraz ryzyka wynikające z problemów związanych z obcą kulturą, językiem i infrastrukturą. 7

8 Modele biznesowe offshoringu/outsourcingu 100% Stopień właścicielstwa 0% Spółka zależna Wspomagana spółka zależna Joint Venture (JV) Buduj Działaj Transferuj (BOT, ang. Build Operate Transfer) Outsourcing W całości posiadana jednostka, stworzona lub przejęta Pełna kontrola nad kadrami, aktywami, systemami / procesami Może być odpowiedzialna za konkretny zestaw umiejętności, takich jak rekrutacja, program motywacyjny, utrzymanie budynków itp. W całości posiadana jednostka, stworzona i zarządzana przy wsparciu doświadczonego partnera, zazwyczaj jednego podmiotu Wsparcie może być zapewnione w zakresie: 1. Kadr (np. rekrutacja, szkolenia, program motywacyjny) 2. Aktywów (np. wynajem / zakup, utrzymanie, wyposażenie) 3. Systemu / procesu (np. pozyskiwanie infrastruktury IT, audyt, wsparcie restrukturyzacji) Jednostka ustanowiona z innym podmiotem zewnętrznym w celu usprawnienia tempa wejścia na rynek, zmniejszenia ryzyka oraz ochrony praw własności intelektualnej Partner wybrany ze względu na znajomość rynku lokalnego i określone doświadczenie sektorowe Jednostka zarządzana początkowo przez partnera stanowiącego podmiot zewnętrzny, a następnie przekazana na pełną własność klienta po upływie uzgodnionego okresu Właścicielstwo w odniesieniu do kadr i aktywów spoczywa początkowo na podmiocie zewnętrznym; własność i kontrola określonych systemów / procesów może spoczywać na kliencie od początku Jednostka w pełni zarządzana przez podmiot zewnętrzny Niższe Stopień ryzyka Wyższe 8

9 Kluczowe czynniki inicjatyw O/O redukcja kosztów (np. operacyjnych, rozwoju, sprzedaży) zwiększenie koncentracji na kluczowych kompetencjach wykorzystywanie najlepszych praktyk insourcerów i innowacji zwiększenie elastyczności oraz skalowalności operacji Tworzenie dodatkowej wartości dla interesariuszy zdobycie dostępu do kapitału ludzkiego napędzanie globalnego wzrostu poprzez uzyskanie punktu zaczepienia w rozwijającej się gospodarce 9

10 Kluczowe czynniki inicjatyw O/O Główne czynniki inicjatyw O/O 70% 64% 60% 56% 49% 50% 40% 30% 20% 37% 27% 19% 15% 40% 20% 10% 0% Redukcja kosztów Doświadczenie pracowników insourcera Zdobycie przewagi konkurencyjnej Zwiększenie wartości dla udziałowców Elastyczność Uzyskanie wiedzy w zakresie technologii Zwiększenie wartości dla klientów Konsolidacja aktywów/zasobów Brak wewnętrznych zasobów Inicjatywy O/O zazwyczaj dostarczają różnych kombinacji tych korzyści, lecz rzadko w pełni wykorzystują swój potencjał i często przy zwiększonym ryzyku dla organizacji. Jeśli ryzyka te, zarówno wewnętrzne jak i zewnętrzne, nie są dobrze zarządzane, mogą negatywnie wpłynąć na wydajność biznesową całej organizacji. Ankieta przeprowadzona przez Deloitte wskazała np. iż znaczna liczba ankietowanych firm wyraziła rozczarowanie z ogólnych możliwości dostawców usług outsourcingowych zapewniania ciągłych usprawnień procesów i technologii. 10

11 Metody zarządzania ryzykami outsourcingu i offshoringu Inteligentne podejście do zarządzania ryzykiem obejmuje praktyki, które: odpowiadają pełnemu spektrum ryzyk towarzyszących decyzjom i działaniom biznesowym przecinają silosy zapewniając zintegrowany przegląd ryzyk występujących we wszystkich obszarach organizacji uwzględniają odgórne okazje, jak również oddolne ewentualności identyfikują, unikają, ograniczają i raportują na temat ryzyk w sposób kompleksowy i optymalny kosztowo zapewniają wspólny język i kontekst dla zarządzania ryzykiem alokują zasoby zarządzania ryzykiem na podstawie istotności zagrożeń i okazji. Praktyki te są szczególnie istotne i często nieobecne w inicjatywach O/O. Niniejsza prezentacja pokazuje jeden ze sposobów podejścia do decyzji O/O, obejmujący inteligentne zarządzanie ryzykami na każdym etapie cyklu O/O. 11

12 Ryzyka są realne i niewłaściwie zarządzane Podstawowym ryzykiem w każdym przedsięwzięciu biznesowym jest nie uzyskanie przez nie zamierzonej wartości. Zgodnie z tym miernikiem, wiele firm zmaga się z poważnymi ryzykami O/O. W ankiecie Deloitte dotyczącej outsourcingu, 30% uczestników uznało, iż są niezadowoleni lub bardzo niezadowoleni z ich umów outsourcingowych. Ponadto, 39% respondentów przerwało kontrakt outsourcingowy transferując go do innego dostawcy. Dodatkowo kilka rosnących trendów zwiększyło ryzyka O/O: Firmy obecnie polegają na podmiotach zewnętrznych i jednostkach offshoringowych nie tylko w zakresie konkretnych projektów i funkcji back-office, lecz coraz częściej w zakresie głównych procesów biznesowych. Zwiększenie globalnej konkurencji w zakresie pozyskiwania utalentowanych pracowników przyczyniło się do niedoboru wykwalifikowanych pracowników na rynku lokalnym, co wymaga od firm koncentracji na strategii zarządzania ludzkim kapitałem w celu optymalizacji jakości i kosztu usług. Wymagania regulacyjne zwiększyły ekspozycję w zakresie odpowiedzialności za wykroczenia i niewłaściwe wykonanie; w niektórych przypadkach wyższe kierownictwo i zarząd może być odpowiedzialne za niezgodność związaną z działaniami podmiotu zewnętrznego. Piractwo, łamanie bezpieczeństwa oraz kradzież informacji może negatywnie wpłynąć na wartość marki, własność intelektualną oraz inne wartości niematerialne i prawne, w które firmy znacznie więcej inwestowały w ubiegłych latach. Bardziej zmienne otoczenie polityczne w niektórych popularnych lokacjach offshoringowych zwiększa ryzyko, że zamieszki, terroryzm lub związane z nimi wydarzenia zagrożą wartości produktów i rzeczowych składników aktywów, jak również stworzą klimat niestabilności uniemożliwiający efektywne i wydajne funkcjonowanie. Insourcerzy de facto mogą przekształcić się w partnerów, jednak bez istniejących procesów analizy, raportowania oraz kontroli charakterystycznych dla rzeczywistych partnerów. By móc radzić sobie z tak kompleksowymi i dynamicznymi ryzykami, przedsiębiorstwa powinny wypracować holistyczne podejście do zarządzania ryzykiem w celu wspomagania podejmowania decyzji w zakresie O/O. 12

13 Cykl outsourcingu i offshoringu Cyklem O/O jest sekwencja decyzji i działań, która pozwala na wprowadzenie w życie określonej inicjatywy. Każdy etap cyklu O/O odznacza się występowaniem odmiennych ryzyk, które powinny być adresowane poprzez użycie specyficznych narzędzi, technik oraz taktyk ograniczających. Możemy w nim wyróżnić następujące etapy: Ocena strategiczna Ma na celu wypracowanie decyzji dlaczego, jak i w jakiej formie O/O może wspomóc strategię biznesową, oraz czy wewnętrzne możliwości organizacji pozwolą na wsparcie inicjatywy O/O. Badanie korzyści wdrożenia Analiza przewidywanych oszczędności oraz innych finansowych i operacyjnych korzyści z wdrożenia inicjatywy O/O. Wybór dostawcy Selekcja dostawcy usług O/O oparta o kryteria zdefiniowane w etapach Ocena strategiczna i Badanie korzyści wdrożenia. Zawieranie umowy Negocjowanie kontraktu, który pozwoli połączyć potrzeby i oczekiwania obydwu stron oraz zaadresuje zgodność i ryzyka zidentyfikowane w trzech poprzedzających etapach. Przeniesienie usług, świadczenie usług oraz zarządzanie inicjatywą po migracji Zarządzanie migracją usług lub rozpoczęciem świadczenia usług przez podmiot zewnętrzny bądź centrum offshoringowe. Ciągłe monitorowanie jakości i ryzyk wynikających z relacji biznesowej w oparciu o kontrakt oraz umowę o świadczenie usług (SLA). Kontrola osiągania celów strategicznych. 13

14 Ryzyka na poszczególnych etapach cyklu O/O i sposoby zarządzania nimi Mimo że poszczególne ryzyka są przyporządkowane do kolejnych etapów cyklu O/O nie można zapominać, że zarówno ryzyka, jak też etapy są ze sobą połączone. Z tego względu proces rozpoznania ryzyka powinien zostać przeprowadzony na początku cyklu O/O w oparciu o inteligentne podejście do zarządzania ryzykiem. Kluczowa jest identyfikacja i klasyfikacja potencjalnych ryzyk na dwóch pierwszych etapach cyklu: Ocenie strategicznej i Badaniu korzyści wdrożenia. Dzięki temu, podczas kolejnych etapów możliwe będzie skupienie się na ocenie i ograniczaniu ryzyka, a nie na jego identyfikacji. Większość niepowodzeń w zarządzaniu ryzkiem O/O wynika z niepoprawnej identyfikacji ryzyka we wstępnych etapach cyklu O/O. Poniższy rysunek przedstawia przykłady głównych ryzyk występujących na poszczególnych etapach cyklu O/O. Wymienione ryzyka stanowią jedynie wzór, możliwe jest wystąpienie także odmiennych typów ryzyka. Etap 1: Ocena strategiczna Cele inicjatywy O/O niezgodne z założeniami kompleksowej strategii biznesowej przedsiębiorstwa. Etap 2: Badanie korzyści wdrożenia Błędne założenia odnośnie inicjatywy O/O, dotyczące np. przewidywanych oszczędności, okresu zwrotu z inwestycji, bądź nakładów pozwalających na zbudowanie mechanizmów zarządzania i oceny inicjatywy. Etap 3: Wybór dostawcy Wypracowane kryteria odnośnie wyboru dostawcy nie odpowiadają celom i ryzykom inicjatywy O/O; niepowodzenie w przeprowadzeniu dokładnego procesu due diligence. Etap 4: Zawieranie umowy Klauzule umowy dotyczące poziomu usług, warunków, kompetencji pracowników dostawcy, bezpieczeństwa, zachowania tajemnicy oraz wypowiadania umowy są błędne bądź nie występują. Brak zapisów dotyczących mierzenia jakości usług O/O w umowie SLA. Etap 5: Przeniesienie usług, świadczenie usług oraz zarządzanie inicjatywą po migracji Brak poprawnego planowania migracji bądź nieodpowiednie zarządzanie inicjatywą może prowadzić do niskiej jakości dostarczanych usług, przekroczenia kosztów oraz innych rezultatów obniżających wartość inicjatywy. 14

15 Przykładowa kategoryzacja ryzyk inicjatyw O/O Kategoria Operacyjne Strategiczne Prawne Utraty reputacji Opis, czynniki i przykłady Zagrożenia wywołane przez ludzi, procesy wewnętrzne, systemy i siłę wyższą Czynniki: zamierzone przez usługodawcę oszustwa i jego błędy, złożoność świadczonych usług, geograficzne oddalenie między kontrahentami, odmienność kulturowa, ograniczenia w komunikacji między partnerami outsourcingowymi i ich systemami Szanse: infrastruktura zapasowa i plany awaryjne Zgodność świadczenia przez insourcera usług z celami strategicznymi zleceniodawcy Podejmowanie przez podmiot zewnętrzny zamierzonych działań nakierowanych na maksymalizację swoich zysków kosztem zleceniodawcy: Zamierzone świadczenie usług poniżej uzgodnionego standardu przy niezmienionych żądaniach odnośnie wynagrodzenia (poaching) Czerpanie przez zleceniobiorcę korzyści z danych udostępnionych przez zleceniodawcę w celu umożliwienia mu świadczenia usług w ramach projektu bez wiedzy i zgody outsourcera (shirking) Wymuszanie przez usługodawcę korzystnych dla niego zmian umowy w przypadku braku alternatywy odnośnie wyboru partnera outsourcingowego (vendor holdup) Niebezpieczeństwo podlegania przez zleceniodawcę sankcjom prawnym w razie uchybienia wymogom określonym przepisami ustawy lub przez regulatora (w szczególności naruszenie przez usługodawcę przepisów prawa chroniących np. tajemnicę bankową, dane osobowe, konsumenta czy wyznaczających normy ostrożnościowe) Trudności regulatora w sprawowaniu jego obowiązków w zakresie efektywnego nadzoru (dostęp do danych i informacji odnoszących się do zleceniobiorcy w zakresie świadczonych przez niego usług) Umowa outsourcingowa (np. sztuczne utrzymywanie relacji do końca przewidzianego okresu niekorzystne dla stron) Odpowiedzialność zleceniodawcy wobec klientów za szkody im wyrządzone wskutek niewykonania lub nienależytego wykonania umowy outsourcingowej przez podmiot zewnętrzny Uchybianie przez usługodawcę przewidzianym standardom (określonym przez ustawodawcę, regulatora lub umowę), które mogą wpłynąć na postrzeganie organizacji na rynku Najpoważniejsze niebezpieczeństwo związane ze stosowaniem outsourcingu Skutki zaistnienia wszelkich pozostałych ryzyk Inne Ryzyko braku strategii wyjścia Lokalizacja usługodawcy (np. inne państwo czynniki polityczne, społeczne, kulturowe, regulacje prawne) Ryzyko koncentracji i systemowe (skupienie usług w ręku małej liczby usługodawców) Opracowanie własne na podstawie: M. Piwko, Outsourcing elementem zarządzania ryzykiem w banku, Warszawa, maj

16 Ryzyka na poszczególnych etapach cyklu O/O i sposoby zarządzania nimi Dostosowanie procesu zarządzania ryzykiem do cyklu O/O pozwala na uwzględnienie interakcji pomiędzy poszczególnymi etapami cyklu, a przez to na identyfikację, ocenę, sklasyfikowanie oraz ograniczenie ryzyka na właściwym etapie. Przedsiębiorstwa, które nie stosują analogicznego podejścia, wykazują tendencję do pomijania licznych aspektów procesu zarządzania ryzykiem, wliczając w to: Podczas Etapu 1: konieczność strategicznego dostosowania oraz oszacowania poziomu ryzyka szczątkowego przy podejmowaniu decyzji o podjęciu inicjatywy O/O oraz konieczność oceny luk w zasobach, procesach, możliwościach i kulturze organizacyjnej. Podczas Etapu 2: czynniki kosztowe, przewidywana efektywność w ograniczaniu ryzyka oraz ciągłe zarządzanie rozwojem relacji biznesowej, a także kontrola osiągania dodatkowej wartości biznesowej. Podczas Etapu 3: wykorzystanie procesu wyboru dostawcy w celu aktywnego zarządzania ekspozycją na ryzyko operacyjne i zgodności. Podczas Etapu 4: opracowanie umowy adresującej ryzyka wykonania usługi O/O, zgodności oraz dostarczenia usług. Podczas Etapu 5: właściwe planowanie migracji usług oraz efektywne zarządzanie zmianą. Dostosowanie procesu zarządzania inicjatywą O/O do oczekiwań obydwu stron umowy, zapewnienie nadzoru nad dostawcą usług oraz ciągłe usprawnianie procesu O/O. Kolejne slajdy rozwiną temat inteligentnego podejścia do zarządzania ryzykiem w ramach poszczególnych etapów cyklu O/O. 16

17 Inteligentne zarządzanie ryzykiem na Etapie 1 Ocena strategiczna Podczas oceny inicjatywy O/O pod kątem osiągania strategicznych celów biznesowych należy oszacować, czy pomoże ona lub nie w osiągnięciu zamierzonych celów. Tego typu ocena pozwoli również na zdefiniowanie wymagań, które należy postawić dostawcy usług, wybór właściwego dostawcy oraz sprecyzowanie pożądanego poziomu świadczenia usług. By móc przeprowadzić wspomnianą ocenę, należy przewidzieć główne punkty decyzyjne i ryzyka na poszczególnych etapach cyklu O/O. Następnie powinno się ocenić możliwe do wdrożenia modele O/O oraz dostępność zasobów i możliwości potrzebnych do wsparcia i monitorowania wdrażania inicjatywy. Ten najwcześniejszy etap procesu jest najwłaściwszym, by zestawić strategiczne cele biznesowe z ryzykami inicjatywy O/O oraz wymaganymi działaniami ograniczającymi poziom ryzyka. Na tym etapie kluczowe jest udzielenie odpowiedzi na dwa podstawowe pytania: Jakie ryzyka szczątkowe będą wynikać z decyzji o wybraniu określonego modelu O/O? Ryzyka te będą zależeć od charakteru i skali usług podlegających outsourcing owi bądź offshoring owi i powinny podlegać procesowi zarządzania ryzykiem w kolejnych fazach. Jaki poziom wewnętrznych zasobów i możliwości możemy przeznaczyć na wsparcie wybranej strategii O/O? Przedsiębiorstwa, które nie przeznaczają odpowiednich zasobów i możliwości na wsparcie podjętych inicjatyw O/O ryzykują niepowodzeniem przedsięwzięcia. 17

18 Inteligentne zarządzanie ryzykiem na Etapie 1 Ocena strategiczna Oddolne ewentualności: Jeżeli cele inicjatywy O/O nie są dostosowane do strategii biznesowej, lub jeżeli ryzyka nie są właściwie identyfikowane i ograniczane, inicjatywa nie wesprze strategii biznesowej, a w niektórych przypadkach nawet ją osłabi. Takie przypadki nie są odosobnione. W ankiecie Deloitte aż 39% spośród 300 przepytanych przedstawicieli wyższego szczebla zarządzającego stwierdziło, że gdyby mogło zmienić podjęte inicjatywy O/O, lepiej zdefiniowałoby i dostosowało cele biznesowe do podejmowanej inicjatywy. W niektórych przypadkach powyższe niedostosowanie może podważyć całą inicjatywę O/O. Wspomniana ankieta wykazała, że aż 50% spośród przedsiębiorstw, które były niezadowolone bądź bardzo niezadowolone z rezultatów ich największej umowy O/O przywróciło wcześniej wyoutsourcowaną funkcję. Co Twoja organizacja zrobiłaby inaczej jeśli musiałaby ponownie podjąć inicjatywę O/O 50% 45% 40% 35% 30% 25% 20% 15% 10% 5% 0% 49% 39% 37% 35% 23% 22% 20% Zdefiniowanie realistycznych poziomów usług zgodnych z celami biznesowymi Zdefiniowanie i uzgodnienie celów biznesowych ze strategią outsourcingową Opracowanie planu i przydzielenie pracowników do zarządzania usługą i kontraktem Poświęcenie większej ilości czasu na wybór i ocenę dostawcy usługi Skorzystanie z pomocy doświadczonego doradcy zewnętrznego Wcześniejszy outsourcing Porównanie kosztów outsourcingu z wewnętrznymi 18

19 Inteligentne zarządzanie ryzykiem na Etapie 1 Ocena strategiczna Odgórne okazje: Właściwie przeprowadzony proces oceny strategicznej pozwala na ograniczenie pochopnych decyzji, które mogą skutkować nieodpowiednimi inicjatywami O/O. Proces oceny ma za zadanie wykazać, w jaki sposób wysiłki włożone w projekt O/O wspierają strategię organizacyjną oraz pozwalają na zaadresowanie zidentyfikowanych słabości. Rygorystyczna ocena strategiczna umożliwia również uzyskanie całościowego widoku na inicjatywę O/O, wykraczając poza oszczędność kosztów i eliminując zbędne bądź nakładające się inicjatywy. W ten sposób możliwe jest uniknięcie najczęstszego ograniczenia inicjatyw O/O, czyli skupiania się jedynie na oszczędności kosztów. Co więcej, dzięki właściwemu procesowi oceny można wystrzec się także potencjalnych problemów wynikających z przeznaczenia na wdrożenie inicjatywy O/O niewystarczających zasobów lub możliwości. Lepsza alokacja zasobów przy zachowaniu wysokiej jakości usług O/O pozwala na osiąganie lepszych rezultatów biznesowych w stosunku do wykorzystujących inicjatywy O/O konkurentów. 19

20 Inteligentne zarządzanie ryzykiem na Etapie 1 Ocena strategiczna Wskazówki inteligentnego zarządzania ryzykiem w ramach Etapu 1 Ocena strategiczna Kluczowe dla inteligentnego zarządzania ryzykiem na etapie Oceny strategicznej jest podjęcie decyzji o tym, co chcemy osiągnąć na strategicznym poziomie oraz czy i jak dana inicjatywa O/O jest w stanie w tym pomóc. Inicjatywy O/O mogą wesprzeć strategię biznesową bądź rozwiązać doraźny problem. Fundamentem dla sukcesu projektu O/O jest połączenie wyboru dostawcy, warunków umowy oraz wsparcia w postaci zasobów i możliwości z krótko- i długoterminowymi celami biznesowymi, jakiekolwiek by one nie były. W celu stworzenia środowiska przyjaznego dla inteligentnego podejścia do zarządzania ryzykiem w Ocenie strategicznej należy: Zintegrować formalną strategię przedsiębiorstwa w odniesieniu do inicjatyw O/O ze strategią biznesową Dopasować organizacyjną wizję procesu O/O z zasobami, które mogą być przeznaczone na wsparcie określonej inicjatywy; zainwestować w stworzenie niezbędnych zasobów wewnętrznych lub pozyskać ekspercką pomoc z zewnątrz w celu stworzenia owych zasobów Systematycznie włączać wypracowane techniki ograniczania ryzyka w działania prowadzone w ramach cykli O/O, wliczając wybór dostawców, zawieranie umowy, migrację usług i rutynowe czynności 20

21 Inteligentne zarządzanie ryzykiem na Etapie 2 Badanie korzyści wdrożenia Etap Badanie korzyści wdrożenia wynika bezpośrednio z Oceny strategicznej. Opiera się na przewidywaniach odnoszących się do celów biznesowych i powinien wybiegać poza operacyjne oszczędności kosztowe. Typowa inicjatywa O/O ma na celu: zwiększenie elastyczności; poprawienie technicznych, operacyjnych i procesowych umiejętności zarządczych; realokację wewnętrznych zasobów do działań generujących większą wartość; skrócenie cyklu rozwoju produktów oraz poprawę rynkowej zręczności ; poszerzenie możliwości działania oraz zwiększenie konkurencyjności i dodanie wartości dla akcjonariuszy. Konkretna decyzja o wdrożeniu inicjatywy O/O powinna brać pod uwagę koszty zarządzania projektem, komunikacji, zarządzania zasobami ludzkimi, prawne, finansowe oraz wszystkie inne bezpośrednio związane z daną migracją usług. Wiele analiz nie uwzględnia pełnego spektrum kosztów. Podobnie jest z kosztami nadzoru i zarządzania, które są bagatelizowane przez wiele przedsiębiorstw. 21

22 Inteligentne zarządzanie ryzykiem na Etapie 2 Badanie korzyści wdrożenia Oddolne ewentualności: Wiele przedsiębiorstw (38% wg badania przeprowadzonego przez Deloitte) musiało ponosić dodatkowe bądź ukryte koszty za usługi, które początkowo zostały uznane za figurujące w umowie. Nieprawidłowe założenia odnośnie oszczędności kosztowych i okresu zwrotu również przyczyniały się do nietrafnych decyzji dotyczących inicjatyw O/O. Wymienione problemy mają miejsce w sytuacjach, gdy przedsiębiorstwa nie są w stanie zidentyfikować wszystkich kosztów związanych z wdrożeniem projektu O/O. Dodatkowo większość przedsiębiorstw pomija całościową analizę ryzyka, a przez to niepoprawnie oszacowuje koszty jego ograniczania. Ankieta Deloitte pokazuje skalę tego zjawiska: 63% ankietowanych nie przeprowadziło analizy kosztów wdrożenia ani oceny strategicznej w ramach wypracowywania decyzji o podjęciu inicjatywy O/O. Odgórne okazje: W przypadku, gdy idea wdrożenia inicjatywy O/O bazuje na prawidłowych założeniach, możliwe jest racjonalne porównanie dostępnych możliwości i podjęcie decyzji, czy dana funkcja rzeczywiście powinna być wyoutsourcowana. Znaczne sumy można zaoszczędzić na tym etapie analizy w przypadku odrzucenia błędnych decyzji, co może być jednak trudne w przypadku popularności inicjatyw O/O wśród innych członków organizacji. Należy pamiętać, że w przypadku uznania inicjatywy O/O za nieefektywną biznesowo, efektywna może okazać się jedna z inicjatyw alternatywnych. Tym samym uniknięcie potencjalnych strat związanych z projektem O/O może pozwolić na przeznaczenie zasobów na bardziej produktywne projekty. 22

23 Inteligentne zarządzanie ryzykiem na Etapie 2 Badanie korzyści wdrożenia Wskazówki inteligentnego zarządzania ryzykiem w ramach Etapu 2 Badanie korzyści wdrożenia By skutecznie zastosować inteligentne podejście do zarządzania ryzykiem na etapie Badanie korzyści wdrożenia, należy rozpocząć od analizy struktury zarządzania organizacją oraz zasobów niezbędnych do wdrożenia i nadzoru inicjatywy O/O. Podczas dokonywania oceny, należy przeprowadzić kompletną analizę ryzyk w celu ich identyfikacji, klasyfikacji, oceny oraz wypracowania potencjalnych działań ograniczających (odpowiedzi na ryzyko). Na tym etapie powinien zostać również oszacowany koszt mierzenia i ograniczania ryzyka. Podstawą dla biznesowo uzasadnionego wdrożenia inicjatywy O/O jest stworzenie formalnej metody szacowania korzyści i kosztów inicjatywy oraz przeprowadzenie rzetelnego procesu due diligence, by zweryfikować przyjęte założenia. Użyteczna może się także okazać klasyfikacja przewidywanych wydatków na jednorazowe i ciągłe (ponoszone przez cały okres trwania inicjatywy O/O). Inteligentne zarządzanie ryzykiem na etapie Badania korzyści wdrożenia powinno opierać się także na: Przeglądzie wcześniejszych trafnych i chybionych decyzji o wdrożeniu inicjatyw O/O, podjętych zarówno przez organizację, jak również przez jej konkurentów Weryfikacja założeń finansowych, operacyjnych i innych, na przykład przy wykorzystaniu danych dotyczących oszczędności uzyskiwanych dzięki wdrożeniu inicjatyw O/O przez podobne przedsiębiorstwa z naszej branży Poprawnym przewidywaniu poziomu kosztów jednorazowych i ciągłych, włączając koszty mierzenia i ograniczania ryzyka 23

24 Inteligentne zarządzanie ryzykiem na Etapie 3 Wybór dostawcy W przypadku niepowodzenia inicjatywy O/O typowe jest obarczanie winą zewnętrznego dostawcy usług. Nie zawsze jest to zgodne z prawdą wiele problemów może wynikać z niewłaściwego podejścia przedsiębiorstwa zlecającego usługi O/O. W szczególności jest ono odpowiedzialne za przypadki, gdy cele i wymagania dotyczące inicjatywy O/O nie są jasno sprecyzowane i zweryfikowane. Jeżeli tego typu podstawowe kwestie nie są uwzględnione, ryzyko niepowodzenia projektu O/O wydatnie się zwiększa. Wybór dostawcy jest newralgicznym etapem projektu O/O, ponieważ to właśnie zewnętrzny partner wprowadza w życie nasze plany. Dlatego należy przezwyciężyć skłonność do podejmowania szybkich decyzji i starannie przeanalizować dostępne możliwości. Przede wszystkim przed dokonaniem wyboru dostawcy usług należy zakończyć etap pierwszy Ocenę strategiczną oraz etap drugi Badanie korzyści wdrożenia. Następnymi krokami są dokładna analiza i dokonanie wyboru. Znaczące problemy mogą wyniknąć z faktu pośpiesznej selekcji dostawcy. Wynika to przeważnie z ustalania dostawcy z góry, bazując jedynie na analizie kosztów lub wyboru dostawcy, z którym utrzymywaliśmy wcześniej relacje biznesowe. Kolejnym powodem mogą być zapytania ofertowe, które nie bazują na konkluzjach z pierwszych dwóch etapów cyklu O/O jest to nagminna sytuacja. Staranny dobór dostawcy może powodować różnicę między katastrofą, porażką, powodzeniem bądź ogromnym sukcesem przedsięwzięcia O/O, warto więc dołożyć starań, by przebiegł właściwie. 24

25 Inteligentne zarządzanie ryzykiem na Etapie 3 Wybór dostawcy Oddolne ewentualności: Niewłaściwy proces due diligence, podobnie jak nieścisłości między celami O/O, zidentyfikowanym ryzykiem i kryteriami wyboru dostawcy, mogą prowadzić do zawarcia nieoptymalnych a przez to ryzykownych relacji O/O. 44% przedsiębiorstw przebadanych w ankiecie Deloitte przyznało, że wyselekcjonowani dostawcy nie posiadali zdolności wymaganych do dostarczenia usług oczekiwanej jakości przy zachowaniu efektywności kosztowej. Wybór nieodpowiedniego dostawcy rodzi ryzyko powstania potrzeby przeprowadzenia procesu wyboru powtórnie, by naprawić popełniony błąd. W badaniu Deloitte aż 35% respondentów zadeklarowało, że przeznaczyłoby więcej czasu na etap wyboru dostawcy, gdyby mogli wrócić do początku cyklu O/O. Odgórne okazje: Jeżeli proces due diligence odnośnie zdolności świadczenia usług, możliwości i zasobów dostawcy zostanie prawidłowo przeprowadzony, szansa na spełnienie wymagań stawianych inicjatywie O/O znacznie się zwiększa. Co Twoja organizacja zrobiłaby inaczej jeśli musiałaby ponownie podjąć inicjatywę O/O 50% 45% 40% 35% 30% 25% 20% 15% 10% 5% 0% 49% 39% 37% 35% 23% 22% 20% Zdefiniowanie realistycznych poziomów usług zgodnych z celami biznesowymi Zdefiniowanie i uzgodnienie celów biznesowych ze strategią outsourcingową Opracowanie planu i przydzielenie pracowników do zarządzania usługą i kontraktem Poświęcenie większej ilości czasu na wybór i ocenę dostawcy usługi Skorzystanie z pomocy doświadczonego doradcy zewnętrznego Wcześniejszy outsourcing Porównanie kosztów outsourcingu z wewnętrznymi 25

26 Inteligentne zarządzanie ryzykiem na Etapie 3 Wybór dostawcy Wskazówki inteligentnego zarządzania ryzykiem w ramach Etapu 3 Wybór dostawcy Przy zawieraniu umów O/O należy pamiętać, że w momencie rozpoczęcia współpracy ryzyko dostawcy usług staje się własnym ryzykiem. Nawet w przypadku, gdy z prawnego punktu widzenia ryzyko jest przeniesione na dostawcę, odpowiedzialność pozostaje po stronie podmiotu zlecającego. Dlatego też proces due diligence powinien, na ile to możliwe, ocenić zdolność dostawcy do zarządzania ryzykiem, podobnie jak ocenia zdolności operacyjne, zarządzania i raportowania. Ocena ta powinna zawierać sprawdzenie gotowości operacyjnej dostawcy do rozpoczęcia świadczenia usług i zdolności do wywiązania się z zapisów umowy, a także umiejętności dostosowania się do wymagań prawnych obowiązujących we wszystkich właściwych obszarach. Należyty proces selekcji powinien także w większości przypadków opierać się na: Rozważeniu podjęcia danej inicjatywy O/O na poziomie całej organizacji zamiast doraźnych decyzji na poziomie poszczególnych jednostek biznesowych Zapytaniu ofertowym z jasno zdefiniowanymi wymaganiami obejmującym wymagania w zakresie jakości usług oraz bezpieczeństwa, odzyskiwania danych, audytu i kontroli Weryfikacji wstępnych założeń, przeglądzie operacyjnych możliwości zapewnienia jakości oraz analizie wrażliwości proponowanych cen Ocenie planów ciągłości działania dostawcy w świetle zmieniających się źródeł ryzyka dla działalności Strategiach wyjścia i zmiany dostawcy Kluczową rolę w ocenie mechanizmów kontroli wewnętrznej zaimplementowanych u potencjalnego dostawcy usług w trakcie procesu due diligence oraz podczas trwania umowy O/O powinni pełnić audytorzy wewnętrzni. Dostępność informacji może być oczywiście ograniczona w czasie poprzedzającym zawarcie umowy, jako że potencjalny dostawca może być niechętny do przekazywania newralgicznych danych przed formalnym wejściem porozumienia w życie. Mimo to należy dołożyć wszelkich starań, by uzyskać dostęp do informacji wystarczających, aby pozwolić na zapewnienie poprawnego działania systemu kontroli wewnętrznej dostawcy. 26

27 Inteligentne zarządzanie ryzykiem na Etapie 3 Wybór dostawcy Obszary podlegające ocenie podczas Etapu 3 obejmują: Środowisko kontroli i struktura zarządzania u dostawcy usług Praktyki dostawcy usług w zakresie bezpieczeństwa, ochrony prywatności i ciągłości działania Operacyjna zdolność dostawcy do świadczenia usług Praktyki dostawcy w zakresie zarządzania zasobami ludzkimi Czy oczekiwania dostawcy i jego kodeks postępowania są zbieżne z naszymi? Czy są one przestrzegane? Czy struktura, kompetencje i doświadczenie dostawcy są wystarczające do świadczenia wymaganych przez nas usług? Czy dostawca przeprowadza cykliczną ocenę ryzyka, uwzględniającą czynniki wpływające na zdolność do świadczenia usług dla klientów O/O? Czy jest stosowana kompleksowa kontrola bezpieczeństwa informacji bazująca na wymaganiach klienta usług O/O i ocenie ryzyka dostawcy usług O/O? Jak przebiega komunikowanie polityki bezpieczeństwa i wynikających z niej wytycznych? Jak jest weryfikowane działanie prowadzonych kontroli? Czy proces świadczenia usług jest odpowiednio dokumentowany? Czy funkcje i obowiązki po stronie klienta i dostawcy usług są jasno zdefiniowane? Czy istnieje mechanizm kontrolny weryfikujący sprawozdawczość i rozliczenia wynikające z zapisów umowy o świadczenie usług? Czy procesy zarządzania zmianą, zarządzania incydentami oraz eskalacji i rozwiązywania problemów są sformalizowane? Czy praktyki zatrudniania, wynagradzania, szkolenia i zwalniania pracowników przez dostawcę usług są odpowiednio kontrolowane i zgodne z lokalnym prawem? Czy są one dostosowane do praktyk obowiązujących u klienta usług O/O? Program zarządzania ryzykiem dostawcy (VRM Vendor Risk Management) Czy posiadamy sformalizowany program zarządzania ryzykiem dostawcy? Czy program uwzględnia ryzyka globalnego modelu świadczenia usług? Czy ryzyka dostawcy usług są regularnie poddawane przeglądowi na podstawie danych uzyskanych podczas oceny ryzyka? 27

28 Inteligentne zarządzanie ryzykiem na Etapie 4 Zawieranie umowy Po tym, jak główne punkty umowy są ustalone, a ryzyka zidentyfikowane, formalne zawarcie porozumienia powinno być relatywnie łatwym etapem. Jest to rodzajem nagrody za wysiłek włożony w skrupulatny proces due diligence wynikający z właściwego przeprowadzenia trzech pierwszych etapów wdrożenia inicjatywy O/O. W wyniku zakończenia wspomnianych trzech etapów, konspekt umowy jest już przeważnie przygotowany (w formie wstępnego zarysu), czyniąc etap Zawieranie umowy wstępem do obopólnie korzystnej relacji biznesowej. Etap 4 nie jest czasem na próby naprawiania zaniechań i błędów popełnionych w ramach Oceny strategicznej czy też Wyboru dostawcy; niemniej jednak znaczna część przedsiębiorstw próbuje go w tym celu wykorzystać. 28

29 Inteligentne zarządzanie ryzykiem na Etapie 4 Zawieranie umowy Oddolne ewentualności: Podstawowych problemów mogą przysporzyć stronom brakujące bądź nieadekwatne zapisy umowy dotyczące m.in.: poziomu usług, zarządzania migracją, zasobów personalnych dostawcy, planów bezpieczeństwa, ochrony prywatności oraz awaryjnych, zabezpieczenia ceny, klauzuli audytowej, wypowiadania umowy. Z drugiej strony umowa może być również na tyle nieelastyczna, że niewykonalna staje się jej aktualizacja, mimo iż sam kontrakt taką możliwość gwarantuje. Negocjacje prowadzone w dobrej wierze i obopólnie opłacalne porozumienie mogą zmniejszyć obydwa ryzyka. 49% respondentów badania Deloitte przyznało, że poświęciłoby więcej czasu na zdefiniowanie realistycznych, zbieżnych z celami biznesowymi organizacji poziomów usług O/O, gdyby mogło wrócić do początku procesu wdrażania inicjatywy O/O. Co Twoja organizacja zrobiłaby inaczej jeśli musiałaby ponownie podjąć inicjatywę OO 50% 45% 40% 35% 30% 25% 20% 15% 10% 5% 0% 49% 39% 37% 35% 23% 22% 20% Zdefiniowanie realistycznych poziomów usług zgodnych z celami biznesowymi Zdefiniowanie i uzgodnienie celów biznesowych ze strategią outsourcingową Opracowanie planu i przydzielenie pracowników do zarządzania usługą i kontraktem Poświęcenie większej ilości czasu na wybór i ocenę dostawcy usługi Skorzystanie z pomocy doświadczonego doradcy zewnętrznego Wcześniejszy outsourcing Porównanie kosztów outsourcingu z wewnętrznymi 29