Trendy TPRM w 2025 r.

Bezpieczeństwo łańcucha dostaw staje się jednym z najważniejszych i najbardziej złożonych wyzwań. Częścią tego ekosystemu jest TPRM — obszar, który z mojego doświadczenia wynika, że zbyt często istnieje tylko na papierze. Nawet po latach badań, niezliczonych ramach i zwiększonym nacisku regulacyjnym jasne jest, że oceniamy zgodność, a nie zarządzamy ryzykiem.

Wyniki

Ekosystem TPRM w 2025 r. znajduje się pod rosnącą presją — ze względu na większą złożoność, nowe regulacje i rosnące zagrożenia cybernetyczne — a mimo to pozostaje niedofinansowany i rozdrobniony.

1️⃣ Niedobór personelu i brak przygotowania

Dwie trzecie programów TPRM ma zbyt mało pracowników, a zespoły zarządzają średnio tylko 40% dostawców.

56% organizacji wskazuje brak zasobów jako główną przeszkodę w rozwoju programu.

Tylko 25% opisuje swoje programy jako wysoce skoordynowane między działami.

2️⃣ Regulacje prawne

Nadzór regulacyjny uległ znacznemu zaostrzeniu:

Zaangażowanie zespołów ds. zgodności w TPRM wzrosło z 42% w 2023 r. do 88% w 2025 r.

55% organizacji zwiększyło kontrolę podmiotów zewnętrznych w związku z nowymi przepisami dotyczącymi ochrony danych i odporności.

3️⃣ Cyberbezpieczeństwo

85% programów TPRM śledzi ryzyko związane z cyberbezpieczeństwem, ale obserwuje się rosnącą dywersyfikację:

79% monitoruje prywatność danych

70% zgodność z przepisami

64% ciągłość działania

Jednak 65% organizacji nie ma pewności co do gotowości do reagowania na incydenty, a 41% nadal polega na arkuszach kalkulacyjnych do oceny ryzyka.

4️⃣ Metody ręczne

Pomimo rosnącej złożoności wiele organizacji nadal używa arkuszy kalkulacyjnych i statycznych kwestionariuszy jako głównych narzędzi TPRM.

Tylko 29% jest w stanie ocenić ryzyko w całym cyklu życia dostawcy.

65% przyznaje, że nie ma pewności co do gotowości do reagowania na incydenty.

5️⃣ Sztuczna inteligencja

65% organizacji bada możliwości zastosowania sztucznej inteligencji; tylko 14% aktywnie z niej korzysta.

Największe obawy związane ze sztuczną inteligencją dotyczą bezpieczeństwa danych (32%) oraz stronniczości lub halucynacji (19%).

Odsetek firm bez strategii dotyczącej sztucznej inteligencji spadł z 49% do zaledwie 12%, co wskazuje na gotowość do ostrożnego wdrażania tej technologii.

Zalecenia

1️⃣ Stwórz wielofunkcyjne zarządzanie obejmujące ryzyko, zgodność, zaopatrzenie i IT.

2️⃣ Ostrożnie wdrażaj sztuczną inteligencję.

3️⃣ Korzystaj z inteligentnej automatyzacji.

4️⃣ Zintegruj ramy zgodności bezpośrednio z procesami due diligence.

5️⃣ Wprowadź wielopoziomowy model oceny ryzyka.

Jako osoba współpracująca z wieloma organizacjami, od lat obserwuję powtarzającą się sytuację — od raportu Ponemon Institute „Cost of Third-Party Risk” po dzisiejszy raport Mitratech. Przesłanie pozostaje niezmienne: nie zarządzamy ryzykiem — zarządzamy arkuszami kalkulacyjnymi. TPRM to ćwiczenie z zakresu zgodności, a nie proces zarządzania ryzykiem. Organizacje gromadzą polityki i certyfikaty, ale rzadko weryfikują rzeczywistą dojrzałość bezpieczeństwa. Co gorsza, traktują kwestionariusze jako dowód, a nie jako punkt wyjścia do rozmowy.

Link

Autor: Sebastian Burgemejster