当组织与第三方合作时,他们不能忽视供应商风险管理的重要性。
为了在当今的全球市场中竞争,企业通常会与第三方合作,但组织雇用的每一个第三方都伴随着风险。这就是为什么第三方供应商风险管理必须成为与外部实体接触的组织的核心竞争力。
为了降低来自第三方供应商的风险,尤其是在安全和隐私方面,企业领导者应该提出哪些问题?COVID-19期间的工作性质是否改变了这种情况?
设定更高的标准
ADP全球第三方风险管理副总裁Phani Dasari表示,当一个组织与第三方合作时,它需要从一开始就建立明确的期望。188bet金宝搏app
他说:“你要确保与你的合作伙伴网络保持信任链,合作伙伴必须遵守你作为一个组织的最高标准。”
Dasari还建议,一旦组织确定需要第三方,就应该关注该实体的固有风险。换句话说,这是您的业务在什么都不做时所面临的风险级别。此外,要了解第三方的业务,以及它将在多大程度上影响您的组织的数据和基础设施。
评估第三方的固有风险还需要分析其业务弹性能力、打击贿赂和腐败的能力,以及是否有正确的数据隐私计划,以促进遵守相关法规,如欧洲的《通用数据保护条例》和加州的《消费者隐私法》。采取了这一步后,组织可以将第三方分配到风险层,“第1层”是风险最大的,需要最大程度的监督。
把它写下来
为了避免创建复杂的合同,把每一项内部控制要求都写得非常详细,达萨里建议在合同中加入与行业标准一致(如果不是更高的话)的规定。
如果在第三方环境中存在需要时间来解决的问题,则在测试期间暴露出来卖方尽职调查达萨里建议,在这个过程中,要让打算与第三方合作的业务部门注意到这一点,并得到他们的明确签字,继续与该实体合作。
“业务部门需要回答的问题是,‘在他们解决问题期间,你是否同意继续与他们做生意,并在此之前接受潜在风险?’”达萨里指出。
他还强调了合同条款的必要性,允许在年度评估之外进行检查,以确定第三方是否已经解决或正在解决您的组织发现的任何问题。
远程工作带来新的风险
鉴于当前的商业环境和冠状病毒对第三方的影响,达萨里认为风险格局的转变因为有些员工别无选择,只能把客户信息带回家。他还承认,第三方的员工有可能成为网络钓鱼骗局的受害者,这些骗局诱使他们点击一个链接,将恶意软件下载到他们的设备上。达萨里说,第三方应该要求他们的员工只将工作设备用于工作目的。执行这些规则将会降低用户转到恶意网站的风险。
Dasari建议组织要求第三方解释他们计划如何提高对此类风险的认识,以及他们为减轻攻击或违规的潜在影响而采取的对策。
最重要的是,Dasari强调了沟通在帮助组织了解第三方面临和构成的风险方面所起的重要作用。例如,疫情一发生,达萨里的团队就联系了他所有的供应商,以确定他们是否有能力在未来120天内运营业务,以及他们的业务连续性计划是否能有效应对中断。
虽然一些组织可能忽略了对第三方供应商风险管理的需求,但所有规模的企业都应该留出时间和精力来审查他们的合作伙伴。大多数第三方都拥有主动管理风险的手段,但是仔细检查和确认一个健全的风险管理程序的存在是没有坏处的。
保护客户及其数据免受恶意活动的安全和隐私是ADP的首要任务。188bet金宝搏app有关安全更新和警报的当前列表,请单击在这里.