供应商风险管理——这是值得努力的
介绍和背景
在当今充满活力的商业和技术环境中, 大多数万博平台app下载依靠第三方供应商提供的服务来支持各种功能. 使用外部供应商不仅可以节省成本,还可以提高运营过程的效率, 但这也是获得专业知识的机会,可以为万博平台app下载带来持续增长. 说了这么多, 从外部供应商获取服务涉及许多与隐私和合规相关的风险, 除了类似于在内部执行这些功能时产生的风险之外. 一些相关的风险包括:a)信息的机密性, b)监管的担忧, c)安全威胁, 可用性, 系统和资源的完整性.
在2013年的塔吉特数据泄露事件中, 据报道,黑客窃取了4000万个信用卡号码,这是史上最大的数据泄露事件之一. 最初对塔吉特万博平台app下载系统的入侵可以追溯到从第三方供应商那里偷来的网络证书——供暖, 通风, 空调(HVAC)分包商在塔吉特和其他顶级零售商的多个地点工作. It is still unclear why Target would have given external network access to an HVAC servicer; however, 有一件事是肯定的——企业现在在供应商风险管理上投入了大量资金,以避免成为类似违约的受害者. 像这样, 实施全面的供应商风险管理计划和确保适当的尽职调查是至关重要的, 合同注意事项, 性能评估监控的到位,以更好地管理与使用外部供应商相关的风险.
程序的方法
供应商风险管理的概念不是一个“一次性”的练习, 但在正式关系之前就开始了对第三方供应商的审查和选择,并延伸到关系结束后,考虑任何终止后的数据和其他相关信息的权利. 同时必须使用专门的风险管理团队, 保持万博平台app下载其他领域(如法律)的参与也很重要, 合规, 和高级管理. 对供应商风险管理程序使用整体方法将更好地将其重点领域与万博平台app下载的总体战略计划和风险偏好相结合. 也, 程序中使用的风险管理过程应与每个第三方关系的风险和复杂性水平相适应. 例如, 应该对涉及关键活动的第三方关系进行更多的监督——重要的财务职能(e.g.支付、清算、结算、保管)或重大共享服务(e.g.、IT、人力资源).
A vendor risk management program can be tailored to fit the structure and needs of a company based on size and industry dynamics; however, 它至少应该以某种形式包含两个主要部分:1)尽职调查/风险评估和2)持续监测. 有关每个组件的详细信息,请参见下面.
1. 尽职调查和风险评估
这个组件可能是最关键的, 因为它确定了第三方供应商的风险,从而决定了从成本/效益的角度来看,业务关系最终是否有意义. 作为一个起点, 使用定性和定量的方法进行风险评估,以了解与第三方供应商相关的风险. 风险评估可以包括一些项目的组合,比如标准化的信息安全问卷, 与关键利益相关者进行现场访谈, 和安全文件的审查(e.g.政策、程序). 风险评估后, 根据定义的阈值-低为每个第三方供应商分配一个风险级别分类, 媒介, 和高. 最后, 制定合同,明确规定第三方供应商的期望和责任,以确保合同的可执行性, 限制万博平台app下载的责任, 并减轻有关业绩的争议.
2. 正在进行的 监控
尽职调查过程中的初始风险级别分类通常将决定程序中对每个第三方供应商的持续监控程度. 管理层应指派具有必要专业知识和经验的专门人员,根据关系的风险水平和复杂性来监督和监督第三方供应商. 持续监测过程提供了进一步评估金融稳定等关键风险领域的能力, IT安全, 和事件管理. 因为风险的级别和类型都可能在第三方关系的生命周期中发生变化, 万博平台app下载应确保其持续监控过程相应地进行调整. 这种监视可能导致每个第三方供应商所需报告的频率和类型发生变化, 包括服务水平协议性能报告, 审计报告, 和控制测试结果.
结论
虽然开发和实现供应商风险管理程序的初始工作可能需要万博平台app下载大量的时间和资源, 从财务和运营角度来看,结果将提供广泛的增长机会. 有一个流线型的, 识别和监控第三方供应商风险的有效方法使万博平台app下载能够专注于其长期前景的其他战略举措.
欲了解更多信息或查询新万博app下载如何为您的组织提供帮助,请联系:
- Scott Freinberg,董事,风险咨询:sfreinberg@www.4ugod.com或
- 克里斯·普拉特,董事,风险咨询:kpratte@www.4ugod.com或