位置:首页 > 网络安全
企业如何在危机时期及以后加强第三方供应商计划
持续动荡如今以各种方式考验了跨行业的供应链——从供应链紧张和远程工作流程到安全问题等等。维持具有弹性的供应链是许多企业遇到中断和业务风险的一个重点,主要与管理第三方供应商有关。
根据调研机构最近发布的一份调查报告,85%的企业因与其供应链相关的第三方集成问题而蒙受损失——有些企业每年损失超过100万美元。其中大部分是由于过时的集成系统(非基于云的集成系统)以及缺乏端到端业务流程可见性造成的。此外,35%的企业表示其合规团队无法知道第三方合作伙伴是否合规。这不仅在财务上是一个大问题,而且表明大多数人不了解业务交易中发生的情况,这可能会导致更大的未来风险和损失。
为了克服这些挑战,企业必须实施敏捷的风险管理计划,优先考虑第三方风险管理。企业需要建立一个正式的第三方风险管理计划,以加强端到端流程的可视性。
第一步:定义和构建程序
定义IT和第三方风险管理计划的当前状态是了解什么是有效的,最关键的是什么是无效的。这包括对现有供应商及其潜在风险的全面审计。这使企业领导者可以了解当前风险,识别可消除的风险以及可以预先缓解的不必要的未来风险。这一过程还使企业能够为改进的第三方供应商计划创建新的标准和目标。例如,企业需要了解IT和第三方风险管理团队之间的沟通流程,以发现由人工流程、报告不足或无法访问相关数据引起的潜在问题。
自上而下的赞助和自下而上的执行也是开发第三方合规计划的关键。企业范围内的一致性将第三方供应商流程从“复选框”合规性转变为一致和彻底的流程,从而强调了风险管理计划到位的重要性。例如,许多企业都有一份供应商入职清单,其中包括审查其产品/服务跟踪记录、财务稳定性以及是否违反法律等任务。一个一致和彻底的流程还包括持续的尽职调查等活动,定期检查供应商的财务、监管和声誉风险的状况。
为了打破孤岛并使采用更加无缝,企业应该考虑使这些流程自动化,并与整个业务的记录系统集成。这将提高计划效率,提高运营效率,最重要的是,将支持风险管理计划,该计划可以随着未来的合规需求和工作流程而发展。
第二步:确定资源、优先事项和基础资产
获得企业高管支持至关重要的一个主要原因是,企业需要确定哪些资源可用于实施计划。
IT、人力资源和风险与合规方面的主要利益相关者将不仅有助于推出改进的第三方供应商计划,还有助于确定范围。分配资源可以从确定行业专家、成立委员会或确定是否以及如何评估新员工开始。
企业了解哪些供应商对业务的潜在影响最大是很重要的。有了这些数据,可以被强大的风险管理工具和解决方案等基础资产访问,项目利益相关者可以按重要性级别对风险进行优先级排序,并制定可行的计划。
最后,在这些解决方案中建立和实施控制库可以改进流程并降低风险水平。通过这样做,企业可以管理内部和监管强制执行的最佳实践的执行,同时确保任何有权访问这些系统的第三方都遵循相同的要求,从而创建流程的统一性,并降低风险。
第三步:实施项目方法
除了评估第三方之外,建立健康风险管理计划的关键步骤是定义指标。项目方法应包括既定的报告标准和目标指标,以便随着时间的推移衡量成功。例如,有了第一步的基准,企业团队可以衡量云集成如何导致整体改进,或者消除潜在风险的速度。
员工培训在这里扮演着重要角色,因为企业内的每个人都需要能够轻松地使用第三方风险管理解决方案。培训应包括整个风险管理职能,并提供与任何新计划、流程或系统相关的变更管理挑战的可重复介绍。
虽然具有自动化工作流程的强大解决方案肯定会解决集成问题并简化流程,但企业对第三方风险管理计划的认可是定义弹性供应商关系和健康合规计划的要素。使用这种方法来创建基于风险的策略,不仅可以帮助企业建立和维护强大的供应商供应链,还可以帮助识别未来的风险,使团队能够在它们成为影响业务的问题之前减轻它们,这就是企业的弹性的意义所在。
上一篇: 范渊受聘为中国网络安全产业创新发展联盟专家委员会委员
下一篇:学习PWN一个月后能做什么?