Artikel oleh : Galvanize 

Jun 30, 2021 | Vendor Risk

 

Secara tradisinya, pengurusan risiko pihak ketiga (TPRM) telah menumpukan pada perolehan, pelaksanaan kontrak, mengurus hubungan, dan melakukan tinjauan perniagaan setiap suku tahun. Tetapi dengan organisasi hari ini bergantung pada vendor untuk memenuhi objektif perniagaan teras dan menyokong kelebihan daya saing, langkah-langkah ini tidak lagi mencukupi.

Kisah pelanggaran keselamatan, denda peraturan, dan kerugian ekonomi akibat insiden pihak ketiga semakin meningkat. Dan walaupun vendor secara teknikal bersalah, organisasi akhirnya bertanggungjawab. Oleh kerana anda tidak dapat melakukan tanggungjawab luar, program TPRM mesti menguruskan tahap risiko yang tinggi ini.

Berikut adalah beberapa nasihat praktikal mengenai cara mengintegrasikan proses TPRM yang diperluas ke dalam fungsi sumber dan perolehan semasa anda sehingga anda dapat mengawasi keseluruhan kitaran hidup vendor dan meningkatkan program anda untuk menghadapi cabaran baru ini.

Memahami risiko pihak ketiga anda

Organisasi anda mungkin berkontrak dengan ribuan pihak ketiga, yang mungkin termasuk pembekal, pengeluar, penyedia perkhidmatan, rakan niaga, sekutu, broker, pengedar, penjual semula, dan ejen. Walaupun anda mungkin mempunyai proses untuk memasukan vendor dan mengesahkan kepatuhan, terdapat banyak pemboleh ubah yang dimainkan sehingga mudah untuk mengabaikan potensi risiko yang dapat menjadi masalah dari masa ke masa.

Risiko dari pihak ketiga termasuk dalam beberapa kategori, termasuk:

• Pematuhan - Apakah semua kehendak peraturan anda, seperti penyimpanan data, dihormati oleh vendor anda?
• Keselamatan siber - Seberapa ketat protokol keselamatan siber vendor anda, dan mungkinkah mereka membiarkan anda terdedah kepada pelanggaran?
• Reputasi — Apakah vendor anda melanggar undang-undang atau peraturan, kehilangan data pelanggan kerana kecuaian, atau membuat pernyataan kontroversial?
• Kewangan - Adakah vendor anda cenderung keluar dari perniagaan atau menjadi tidak larut?

 

Mari kita lihat keselamatan siber sebagai contoh di mana anda mungkin mendapat risiko yang tidak diketahui. Penjual IT merangkumi sebahagian kecil daripada ekosistem pihak ketiga anda. Namun, di sektor ini sahaja, rata-rata organisasi mempunyai 182 vendor yang terhubung ke sistem mereka setiap minggu, dan 58% daripadanya percaya bahawa mereka telah melakukan pelanggaran sebagai akibat langsung dari vendor pihak ketiga. Organisasi seringkali kurang melihat risiko IT mereka: 57% tidak tahu apakah perlindungan mereka mencukupi untuk mencegah pelanggaran data, dan hanya 34% yang mempunyai inventori komprehensif dari semua pihak ketiga yang menyentuh data mereka.

Sudah jelas bahawa untuk mencegah risiko yang tidak perlu, organisasi anda perlu mengembangkan pendekatan sistematik untuk menguruskan kawalan dan menilai tahap risiko dalam masa nyata.

 

Mengoptimumkan pengurusan risiko pihak ketiga anda.

Pertimbangkan amalan terbaik berikut untuk memantau dan mengurus risiko pihak ketiga anda:

• Buat inventori semua risiko pihak ketiga anda, termasuk faktor seperti geografi, teknologi, dan risiko kredit. Semasa anda memetakan dan menilai faktor risiko pihak ketiga anda, utamakan setiap risiko berdasarkan seberapa besar kemungkinan ia berlaku dan kesannya terhadap operasi anda. Anda juga dapat mengklasifikasikan vendor mengikut tahap risiko, seperti jenis akses yang mereka perlukan ke data anda, dan mengkalibrasi pemantauan risiko anda dengan sewajarnya.
• Membangun rancangan mitigasi. Setelah anda memetakan risiko anda, kembangkan indikator risiko utama (KRI) untuk dijadikan penanda aras kapan tindakan mitigasi harus dilaksanakan. Kenal pasti pihak berkepentingan di seluruh organisasi anda yang bertanggungjawab menguraikan rancangan mitigasi dan melaksanakannya apabila diperlukan.
• Menyeragamkan dan mengotomatisasi proses onboarding dan penamatan anda. Semasa menaikkan vendor baru, atau menghentikannya pada akhir perkhidmatan, buat sekumpulan kawalan ketat yang mesti diikuti pada setiap langkah proses. Ini mungkin termasuk mengkaji kontrak vendor, protokol keselamatan siber, rancangan tindak balas insiden, rancangan kesinambungan perniagaan, dan profil kredit. Kontrol ini harus automatik sejauh mungkin, sehingga Anda dapat menerima pemberitahuan segera ketika masalah muncul.
• Memastikan semua anggota pasukan pengurusan risiko mempunyai akses ke data yang sama. Manfaatkan platform pengurusan risiko terpadu dan terpusat yang menyediakan akses ke semua data pihak ketiga anda dan membolehkan anda melihat analisis risiko di seluruh organisasi dalam masa nyata. Dengan membina platform kolaboratif, anda dapat memastikan bahawa setiap anggota pasukan mempunyai keterlihatan yang lengkap dan mengukur risiko berdasarkan metrik yang sama.
• Gunakan kandungan yang telah dibina untuk mengautomasikan aliran kerja anda. Penyelesaian anda harus merangkumi kandungan yang telah dikonfigurasikan untuk kes penggunaan umum di industri anda, yang dapat anda gunakan untuk mengautomasikan aliran kerja yang mengatur dan menguruskan kawalan anda.
• Gunakan analisis untuk menguji senario dan menilai tahap risiko dalam masa nyata. Penyelesaian anda harus merangkumi pelbagai papan pemuka analisis untuk membantu anda menilai senario yang berbeza dan mengintegrasikan suapan data masa nyata untuk penilaian risiko terkini. Ia juga dapat membantu menghasilkan laporan intuitif yang dapat anda kongsi dengan pasukan eksekutif anda untuk membuat keputusan yang lebih baik dan pantas.

Dengan membina dan menerapkan protokol ketat mengenai pengurusan risiko pihak ketiga anda dalam penyelesaian pengurusan risiko bersepadu terbaik di kelas, lebih mudah untuk mengklasifikasikan vendor dan mengenal pasti mana yang mesti dipantau dengan lebih teliti. Anda juga akan mendapat akses ke data masa nyata untuk membantu anda segera menemui masalah. Dan anda akan mendapat akses ke aliran kerja yang diperkemas yang akan mengotomatisasi sebahagian besar inisiatif pematuhan anda.

Penjual pihak ketiga anda sering menjadi pautan paling lemah anda — tetapi dengan menganalisis semua risiko anda dengan teliti dan dengan meningkatkan keterlihatan untuk menyoroti masalah dan tren dengan lebih cepat, anda dapat memperketat kawalan dan meningkatkan keselamatan organisasi anda dari hujung ke ujung.

Tarikh Input: 30/07/2021 | Kemaskini: 30/07/2021 | nurmiera