Cyfryzacja, globalizacja łańcuchów dostaw oraz rosnące wymogi regulacyjne sprawiają, że zarządzanie ryzykiem stron trzecich (Third-Party Risk Management, TPRM) staje się jednym z istotnych elementów budowania stabilności organizacji. Tymczasem jedna trzecia firm doświadczyła w ciągu ostatnich trzech lat strat finansowych lub reputacyjnych związanych z podmiotami trzecimi, a 28% odnotowało zakłócenia w łańcuchu dostaw. Jednocześnie aż 83% menedżerów planuje dalszą rozbudowę sieci partnerów w ciągu najbliższych trzech lat – wynika z raportu „2026 Global Third-Party Risk Management Survey” opracowanego przez KPMG. Mimo rosnących inwestycji w technologie wiele organizacji nadal zarządza ryzykiem w sposób rozproszony i reaktywny.
Regulacje i cyberbezpieczeństwo kształtują strategie zarządzania ryzykiem
Zgodnie z wynikami raportu KPMG głównymi czynnikami wpływającymi na strategie TPRM są wymogi regulacyjne (48%) oraz ryzyka z zakresu cyberbezpieczeństwa (37%). Organizacje koncentrują się przede wszystkim na zagrożeniach, które mogą bezpośrednio przełożyć się na funkcjonowanie całego przedsiębiorstwa poprzez słabości po stronie dostawców.
W wielu organizacjach zarządzanie ryzykiem stron trzecich wciąż koncentruje się głównie na weryfikacji kontrahenta na początku współpracy, podczas gdy ryzyka mogą zmieniać się w trakcie jej trwania. Coraz większego znaczenia nabiera więc podejście oparte na ciągłym monitorowaniu oraz wykorzystaniu danych z różnych źródeł, które pomaga szybciej identyfikować potencjalne sygnały ostrzegawcze. W praktyce najlepiej sprawdzają się rozwiązania, w których zarządzanie stronami trzecimi jest skoordynowane pomiędzy różnymi funkcjami m.in. zakupów, compliance i bezpieczeństwa informacji – mówi Iwona Sprycha, Partner w Dziale Deal Advisory w KPMG w Polsce.
Inwestycje koncentrują się na ocenie ryzyka i technologiach
Wydatki organizacji w obszarze zarządzania ryzykiem stron trzecich koncentrują się przede wszystkim na procesach oceny ryzyka oraz narzędziach technologicznych. Z badania wynika, że 52% firm inwestuje w działania związane z oceną ryzyka i procesami due diligence wobec dostawców, 51% rozwija technologie i narzędzia wspierające TPRM, a 49% przeznacza środki na cyberbezpieczeństwo i ochronę danych. Istotnym kierunkiem inwestycji pozostają również audyty regulacyjne, wskazywane przez 45% respondentów.
Technologia – potencjał większy niż obecne rezultaty
Technologie cyfrowe coraz częściej wspierają procesy zarządzania ryzykiem stron trzecich. Od 50% do 58% respondentów deklaruje wykorzystanie AI w wybranych obszarach TPRM, takich jak analiza danych, raportowanie czy automatyzacja oceny ryzyka. Jednocześnie tylko 22% badanych ocenia jej skuteczność jako bardzo wysoką, a około 40% jako umiarkowaną.
Zdaniem respondentów, największą wartość przynoszą rozwiązania, które integrują dane z różnych źródeł i wspierają cały cykl życia relacji z dostawcą, zamiast działać w oderwanych od siebie narzędziach.
Rosnące znaczenie analizy ryzyka
Coraz większego znaczenia nabiera także perspektywa tzw. Nth-party, czyli analiza ryzyk wykraczających poza bezpośrednich dostawców. Koncentracja geograficzna produkcji, zależność od jednego podwykonawcy czy brak przejrzystości w kolejnych ogniwach łańcucha wartości mogą prowadzić do poważnych zakłóceń operacyjnych i reputacyjnych.
Outsourcing i usługi zarządzane pomagają skalować procesy
Ponad 80% organizacji korzysta z outsourcingu lub usług zarządzanych w wybranych elementach TPRM, takich jak ocena ryzyka, monitoring dostawców czy procesy due diligence. Jednocześnie kompleksowe modele obejmujące cały cykl życia relacji z dostawcą pozostają rzadkością – stosuje je zaledwie 5% badanych.
Firmy najczęściej przekazują na zewnątrz zadania o dużym wolumenie i powtarzalnym charakterze, zachowując kontrolę nad kluczowymi decyzjami strategicznymi oraz nadzorem nad relacjami z partnerami.
O raporcie:
Raport „2026 Global Third-Party Risk Management Survey” został opracowany przez KPMG na podstawie globalnego badania wśród 851 przedstawicieli kadry kierowniczej i menedżerskiej z Ameryki Północnej, Ameryki Południowej, Europy oraz regionu Azji i Pacyfiku. Respondenci reprezentowali różne sektory gospodarki, m.in. usługi finansowe, ochronę zdrowia, technologie, przemysł, handel detaliczny oraz energetykę. Badanie analizowało m.in. dojrzałość programów zarządzania ryzykiem stron trzecich, poziom integracji z zarządzaniem ryzykiem korporacyjnym, wykorzystanie technologii i sztucznej inteligencji, modele operacyjne oraz jakość danych w procesach TPRM.
