供应商风险管理——值得付出努力
简介及背景
在当今充满活力的商业和技术环境中, 大多数万博平台app下载依赖第三方供应商提供的服务来支持各种功能. 使用外部供应商不仅可以节省成本并提高操作流程的效率, 但这也是一个获得专业知识的机会,可以为万博平台app下载带来持续的增长. 话虽如此, 从外部供应商获取服务涉及许多与隐私和遵从性相关的风险, 除了类似于在内部执行这些功能时产生的风险之外. 相关的风险包括:a)信息的保密性, B)监管问题;, c)对安全的威胁, 可用性, 以及系统和资源的完整性.
在2013年塔吉特万博平台app下载数据泄露期间, 据报道,黑客窃取了4000万个信用卡号码,这是历史上最大的数据泄露事件之一. 最初对塔吉特系统的入侵可以追溯到从第三方供应商那里窃取的网络凭证——一个供暖系统, 通风, 和空调(HVAC)分包商,曾在塔吉特(Target)和其他顶级零售商的多个地点工作. It is still unclear why Target would have given external network access to an HVAC servicer; however, 有一件事是肯定的——万博平台app下载现在正在花费和投资大量资金进行供应商风险管理,以避免成为类似违规行为的受害者. 像这样, 实施全面的供应商风险管理计划并确保适当的尽职调查至关重要, 合同注意事项, 并且性能审查监控已经到位,可以更好地管理与使用外部供应商相关的风险.
程序的方法
供应商风险管理的概念不是“一劳永逸”的练习, 但在正式关系开始之前,即审查和选择第三方供应商,并延伸到关系结束后,考虑到任何终止后的数据和其他相关信息的权利. 虽然必须使用专门的风险管理团队, 保持万博平台app下载其他部门(如法务部门)的参与也很重要, 合规, 高级管理层. 对供应商风险管理程序使用整体方法将更好地使其重点领域与万博平台app下载的整体战略计划和风险偏好保持一致. 也, 项目中使用的风险管理流程应与每个第三方关系的风险水平和复杂程度相适应. 例如, 应该对涉及关键活动的第三方关系进行更多的监督- -重要的财务职能(例如.g.(支付、清算、结算、托管)或重要的共享服务(例如.g.,它,hr).
A vendor risk management program can be tailored to fit the structure and needs of a company based on size and industry dynamics; however, 它至少应该以某种形式包含两个主要组成部分:1)尽职调查/风险评估和2)持续监测. 请参阅下面与每个组件相关的详细信息.
1. 尽职调查/风险评估
这个部分可能是最关键的, 因为它可以识别第三方供应商的风险概况,从而从成本/收益的角度确定业务关系最终是否有意义. 作为起点, 使用定性和定量方法进行风险评估,以了解与第三方供应商相关的风险. 风险评估可以包括诸如标准化信息安全问卷等项目的组合, 与关键利益相关者进行现场访谈, 并审查安全文档(例如.g.、政策、程序). 根据风险评估, 根据定义的阈值为每个第三方供应商分配风险级别分类-低, 媒介, 和高. 最后, 制定一份合同,明确定义第三方供应商的期望和责任,以确保合同的可执行性, 限制万博平台app下载的责任, 并减少关于业绩的争议.
2. 正在进行的 监控
尽职调查过程中的初始风险等级分类通常将决定对项目中每个第三方供应商的持续监控程度. 管理部门应指派具有必要专门知识和经验的专职工作人员,监督和监测与这种关系的风险程度和复杂程度相称的第三方供应商. 持续监测进程提供了进一步评估金融稳定等关键风险领域的能力, IT安全, 事件管理. 因为风险的级别和类型可能在第三方关系的整个生命周期中发生变化, 万博平台app下载应确保其持续监控过程相应适应. 这种监视可能导致来自每个第三方供应商的所需报告的频率和类型发生变化, 包括服务水平协议性能报告, 审计报告, 并控制检测结果.
结论
虽然开发和实施供应商风险管理程序的最初努力可能需要万博平台app下载大量的时间和资源, 从财务和运营的角度来看,这些结果将提供广泛的增长机会. 拥有流线型, 识别和监控第三方供应商风险的有效方法使万博平台app下载能够专注于其他战略计划,以实现其长期前景.
欲了解更多或询问明视集团如何帮助您的组织,请联系:
- Scott Freinberg,风险咨询总监,网址:sfreinberg@cviewllc.Com或410-415-9705
- 克里斯·普拉特,风险咨询总监,网址:kpratte@cviewllc.Com或410-415-9747