Artikel oleh : Galvanize
Jun 30, 2021 | Vendor Risk
Secara tradisinya, pengurusan risiko pihak ketiga (TPRM) telah menumpukan pada perolehan, pelaksanaan kontrak, mengurus hubungan, dan melakukan tinjauan perniagaan setiap suku tahun. Tetapi dengan organisasi hari ini bergantung pada vendor untuk memenuhi objektif perniagaan teras dan menyokong kelebihan daya saing, langkah-langkah ini tidak lagi mencukupi.
Kisah pelanggaran keselamatan, denda peraturan, dan kerugian ekonomi akibat insiden pihak ketiga semakin meningkat. Dan walaupun vendor secara teknikal bersalah, organisasi akhirnya bertanggungjawab. Oleh kerana anda tidak dapat melakukan tanggungjawab luar, program TPRM mesti menguruskan tahap risiko yang tinggi ini.
Berikut adalah beberapa nasihat praktikal mengenai cara mengintegrasikan proses TPRM yang diperluas ke dalam fungsi sumber dan perolehan semasa anda sehingga anda dapat mengawasi keseluruhan kitaran hidup vendor dan meningkatkan program anda untuk menghadapi cabaran baru ini.
Memahami risiko pihak ketiga anda
Organisasi anda mungkin berkontrak dengan ribuan pihak ketiga, yang mungkin termasuk pembekal, pengeluar, penyedia perkhidmatan, rakan niaga, sekutu, broker, pengedar, penjual semula, dan ejen. Walaupun anda mungkin mempunyai proses untuk memasukan vendor dan mengesahkan kepatuhan, terdapat banyak pemboleh ubah yang dimainkan sehingga mudah untuk mengabaikan potensi risiko yang dapat menjadi masalah dari masa ke masa.
Risiko dari pihak ketiga termasuk dalam beberapa kategori, termasuk:
Mari kita lihat keselamatan siber sebagai contoh di mana anda mungkin mendapat risiko yang tidak diketahui. Penjual IT merangkumi sebahagian kecil daripada ekosistem pihak ketiga anda. Namun, di sektor ini sahaja, rata-rata organisasi mempunyai 182 vendor yang terhubung ke sistem mereka setiap minggu, dan 58% daripadanya percaya bahawa mereka telah melakukan pelanggaran sebagai akibat langsung dari vendor pihak ketiga. Organisasi seringkali kurang melihat risiko IT mereka: 57% tidak tahu apakah perlindungan mereka mencukupi untuk mencegah pelanggaran data, dan hanya 34% yang mempunyai inventori komprehensif dari semua pihak ketiga yang menyentuh data mereka.
Sudah jelas bahawa untuk mencegah risiko yang tidak perlu, organisasi anda perlu mengembangkan pendekatan sistematik untuk menguruskan kawalan dan menilai tahap risiko dalam masa nyata.
Mengoptimumkan pengurusan risiko pihak ketiga anda.
Pertimbangkan amalan terbaik berikut untuk memantau dan mengurus risiko pihak ketiga anda:
Dengan membina dan menerapkan protokol ketat mengenai pengurusan risiko pihak ketiga anda dalam penyelesaian pengurusan risiko bersepadu terbaik di kelas, lebih mudah untuk mengklasifikasikan vendor dan mengenal pasti mana yang mesti dipantau dengan lebih teliti. Anda juga akan mendapat akses ke data masa nyata untuk membantu anda segera menemui masalah. Dan anda akan mendapat akses ke aliran kerja yang diperkemas yang akan mengotomatisasi sebahagian besar inisiatif pematuhan anda.
Penjual pihak ketiga anda sering menjadi pautan paling lemah anda — tetapi dengan menganalisis semua risiko anda dengan teliti dan dengan meningkatkan keterlihatan untuk menyoroti masalah dan tren dengan lebih cepat, anda dapat memperketat kawalan dan meningkatkan keselamatan organisasi anda dari hujung ke ujung.
Tarikh Input: 30/07/2021 | Kemaskini: 30/07/2021 | nurmiera
Tingkat 2,
Blok F, Bangunan Sekolah Perniagaan dan Ekonomi(SPE),
Jalan Persiaran Tulang Daing,
Universiti Putra Malaysia,
43400 Serdang.