W krajobrazie sektora energetycznego, gdzie wytwarzanie, przesył oraz dystrybucja energii w znacznym stopniu zależą od zewnętrznych dostawców i partnerów, wdrożenie solidnych praktyk zarządzania ryzykiem dostawców (VRM) okazuje się jednym z kluczowych aspektów odporności operacyjnej przedsiębiorstw. W tym artykule chcę przekonać Państwa do wyjścia poza tradycyjne ramy zarządzania relacjami z dostawcami i spojrzenie na nie z zupełnie nowej perspektywy.
Zrozumienie zakresu: nie tylko dostawcy bezpośredni
Wiele przedsiębiorstw zarządza w ograniczonym zakresie ryzykiem dostawców już teraz. Zwykle działania te mają na celu weryfikację kondycji finansowej dostawcy, kwestie związane z przeciwdziałaniem praniu pieniędzy i finansowaniu terroryzmu, listy sankcyjne, wiarygodności dostawcy na podstawie zrealizowanych zamówień i referencji, posiadanych gwarancji i certyfikatów jakości lub bezpieczeństwa, w tym dowodów na kompetencje personelu. Jest to najczęściej spotykany zakres, nadal ograniczony, o czym piszę w dalszej części artykułu, ale nawet i ten ograniczony zakres dotyczy zazwyczaj dostawców, z którymi bezpośrednio zawieramy umowy. Tymczasem, za nimi stoi cała sieć podwykonawców, poddostawców, usługodawców, którzy mają wymierny wpływ na dostarczane nam zasoby i usługi.
Przedsiębiorstwa muszą brać pod uwagę bezpieczeństwo całego łańcucha dostaw, w tym relacje z dostawcami nawet czwartego i piątego rzędu. Jest to szczególnie istotne w sektorze energetycznym, gdzie pojedyncze słabe ogniwo w łańcuchu dostaw może potencjalnie wpłynąć na bezpieczeństwo infrastruktury krytycznej i Krajowego Systemu Elektroenergetycznego. Na przykład, dostawcy systemów automatyki przemysłowej polegają na innych dostawcach oprogramowania, którzy z kolei są zależni od innych dostawców technologii. Dostawcy urządzeń elektroenergetycznych współpracują z dostawcami podzespołów, oprogramowania i innych komponentów. Dostawcy surowców, współpracują z producentami pochodzącymi z różnych regionów geograficznych, często niestabilnych lub borykających się z ryzykami, o których na co dzień nawet się nie zastanawiamy, a które mogą wskutek efektu domina sparaliżować działalność naszego przedsiębiorstwa. Zrozumienie tych wzajemnych powiązań jest kluczowe dla zapewnienia wymaganego poziomu odporności poszczególnych podmiotów i całego systemu.
Jednym z elementów monitorowania poziomu ekspozycji na ryzyko ze strony dostawców zewnętrznych jest włączenie do swojego planu audytów, audyty dostawców, wymagając od nich transparentności w zakresie ich relacji z poddostawcami. Szczególną uwagę należy poświęcić dostawcom komponentów krytycznych dla naszej infrastruktury: systemów IT/OT, sprzętu pomiarowego, urządzeń, surowców, a w związku z coraz częstszym wykorzystywaniem modelu outsourcingu – także krytycznych usług.
Wczesna integracja już na etapie planowania
Włączanie oceny ryzyka na najwcześniejszych etapach wyboru dostawców, to najskuteczniejsza strategia ograniczania ryzyka strony trzeciej. Proces powinien rozpocząć się już na etapie planowania projektu i przygotowywania zapytania ofertowego lub specyfikacji istotnych warunków zamówienia, podczas którego zespoły ds. zarządzania ryzykiem, bezpieczeństwa, cyberbezpieczeństwa i ciągłości działania określają kluczowe kryteria oceny ryzyka.
Podobnie podczas oceny ofert, specjaliści ci muszą aktywnie uczestniczyć w ocenie informacji udzielonych przez dostawców i przedstawionych dowodów.
Ocena dostawcy oparta na ryzyku
Ocena dostawcy powinna wykraczać poza standardowe kryteria finansowe i techniczne. Jego kompleksowa ocena musi uwzględniać potencjalny negatywny wpływ dostawcy na naszą infrastrukturę krytyczną, na bezpieczeństwo naszych systemów teleinformatycznych, potencjalny wpływ awarii po stronie dostawcy lub jego niedostępności na funkcjonowanie naszego przedsiębiorstwa oraz możliwości dostawcy w zakresie szybkiego przywrócenia usług lub dostaw produktów. Pamiętajmy też o zbadaniu zgodności dostawcy z wymogami regulacyjnymi sektora oraz o poziomie ryzyka reputacyjnego związanego z dostawcą.
Bezpieczeństwo IT/OT
W sektorze energetycznym, gdzie technologia operacyjna (OT) z informacyjną (IT) coraz częściej się przenikają, zrozumienie zarządzania danymi przez dostawców jest fundamentalne. Bezpieczeństwo danych wymaga szczególnej uwagi ze względu na potencjalne konsekwencje naruszeń.
Niezbędne jest dokładne przeanalizowanie przepływów danych między dostawcami i ich podwykonawcami, ze szczególnym uwzględnieniem punktów styku między systemami IT i OT. Organizacje muszą wdrożyć rygorystyczne procedury oceny środków cyberbezpieczeństwa, włączając regularne audyty, a w uzasadnionych przypadkach – także testy penetracyjne.
Nie tylko wielkość i reputacja
Jak pokazuje historia, współpraca z dużymi, znanymi dostawcami nie gwarantuje niestety niezawodności. Najwięksi gracze są narażeni na ryzyko, tak samo jak mniej znani – czasem nawet bardziej. Warto przeprowadzać szczegółową analizę due diligence wobec dostawcy, wraz z oceną konkretnego wpływu operacyjnego na infrastrukturę, możliwości wewnętrznego łagodzenia problemów, opcji transferu ryzyka poprzez ubezpieczenia oraz zdolności szybkiego reagowania na incydenty u tegoż dostawcy.
Ciągłe monitorowanie ryzyka strony trzeciej
Zarządzanie ryzykiem dostawców w energetyce powinno być procesem ciągłym, a nie jednorazową oceną. W ramach tego procesu organizacje powinny regularnie weryfikować wyniki oceny ryzyka dostawców, monitorować zmiany w strukturze własnościowej, czy operacjach oraz oceniać wpływ aktualizacji systemów lub zmian w świadczonych usługach.
Takie monitorowanie wymaga utrzymywania otwartych kanałów komunikacji z kluczowymi dostawcami oraz regularnej aktualizacji ocen ryzyka w oparciu o incydenty branżowe i nowe trendy. Organizacje powinny również wdrożyć system wczesnego ostrzegania, który pozwoli na szybkie wykrycie zagrożeń i przygotowanie odpowiedniej reakcji.
Budowanie odporności organizacji
Budowanie kultury świadomości ryzyka i proaktywnego podejścia do jego zarządzania, w tym inwestycje w szkolenia i rozwój kompetencji pracowników jest ważne dla długoterminowego sukcesu zarządzania ryzykiem.
Inwestycja w kompleksowe praktyki zarządzania ryzykiem dostawców zawsze zwraca się poprzez zwiększoną odporność operacyjną i niezawodność dostaw energii. W dzisiejszym dynamicznym środowisku energetycznym nie możemy sobie pozwolić na zaniedbania w tym obszarze.
Źródło: Renata Davidson, Prezes Zarządu, DAVIDSON CONSULTING I WSPÓLNICY Sp. z o.o.
Artykuł pochodzi z wydania 1/2025 “Nowa Energia”.
