供应商尽职调查

为什么供应商尽职勤奋重要?

甚至更有更多的Covid-19,所有形状和大小的企业都越来越依赖于第三方供应商来提供业务关键的服务,包括存储传输和/或处理敏感数据。但外包给供应商的关键业务流程可以引入大量风险,许多公司难以评估和管理。

作为 数据泄露报告绝大多数表现出色,您的信息安全姿势可能只是您最薄弱的供应商的安全性。同样,您管理供应商风险曝光的能力仅作为您的供应商尽职调查计划。

当供应商问题影响您的业务和品牌时,您的组织最终承担了责任和后果 - 例如遵守惩罚,恢复成本和声誉损害。这使得供应商尽职调查对您的利益相关者的业务和财务责任的基本方面以及第三方风险管理的骨干( TPRM. ) 活动。

供应商尽职调查困境

什么是摊贩尽职调查?

美国联邦存款保险公司(FDIC)定义供应商尽职调查AS:“审查有关潜在第三方的所有可用信息,重点关注实体的财务状况,其特定的相关经验,其对适用法律法规的知识,其声誉以及其运作和控制的范围和效益。”

供应商尽职调查审查的目的是为您提供所需的背景,您需要决定与供应商建立或继续关系是否有价值。您通常在选择过程中审核供应商,并在其后定期(例如,年度或年度或合同续订时间)。

您可能还需要随时查看特定供应商,随时您的风险配置文件与它们有关(例如,您对IT环境进行重大更改,如支持远程劳动力)或当他们的风险简介更改时(例如,他们面临法律行动,披露数据泄露,宣布裁员或参与合并)。

什么是供应商尽职调查问卷?

鉴于其对您的业务重视,您的供应商尽职调查审查过程需要尽可能深入和深入,特别是对于关键和/或高风险供应商。供应商尽职调查问卷是减少充分评估供应商风险所需的时间和精力的一种方式,而不是现场审计等资源密集型程序。

使用高质量的供应商尽职调查问卷可以帮助您通过使您的员工(和您的供应商的员工)能够快速评估关键风险来加速您的第三方风险管理计划。供应商尽职调查问卷可以是软件 - AS-Service(SaaS)提供的一部分,或者可以像Excel电子表格一样简单。

您最初希望创建一个“一个尺寸适合所有”供应商尽职调查问卷,甚至使用原始模板。但你几乎肯定会得到更少的努力结果通过自定义问卷或根据供应商关键性,供应商风险等级,供应商服务类别和/或合规需求创建几个不同的问卷。

无论其格式如何,供应商尽职调查问卷的目标可能包括减少供应商尽职调查成本和复杂性,以及标准化您的比较和评估供应商的方式。供应商尽职调查问卷也可以帮助降低供应商关系的采购提前期和福利。

供应商尽职调查问卷通常收集的一些信息类型是什么?以下是一些简单的例子:

信息安全风险

    • 您是否在过去一年中经历过任何数据安全事件?
    • 您的网络安全控制是否满足或超出我们自己的内部标准?
    • 您是否可以通过最近的网络安全风险评估或审计展示强大的安全姿势?

业务连续性

遵守

    • 什么规定,包括新法规,你需要遵守吗?
    • 你有合规计划吗?
    • 您目前是否受任何监管行动?

“第四方”风险

    • 谁是你关键的第三方?
    • 过去一年有任何变化,为什么?
    • 您的第三方是否合同授权满足您的安全指南?

财政实力

    • 您的公司在过去一年中是否有利可图?
    • 您的产品/服务市场份额是否保持稳定或在过去一年中种植?
    • 您是否在过去的一年中对您的产品/服务交付或技术进行了任何重大变化?

法律风险

    • 您是否遵守目前或过去一年的任何诉讼或其他法律行动?
    • 您是否在过去的一年中受到了大量客户投诉?

这个ebreief可以免费下载

 TPRM. 小到中等

此免费指南包含5快速最佳实践确保成功的成功。

为什么要进行供应商尽职调查评估?

作为您的业务的事实上,供应商与您的系统,数据和员工相互关联。因此,他们总是让您揭示您需要评估和设施以确保正在进行的运营所需的重大财务,合规性和声誉风险。事实上,2019年Ponemon学院的研究发现59%的公司在过去的一年内经历了由供应商造成的数据违规行为。

供应商尽职调查评估是您解决供应商风险的起点。但尽管他们关键性,但许多企业不进行足够的供应商评估。例如,近25%的企业甚至不知道他们最近受到供应商的数据违规影响。许多人也没有准确的供应商清单,它们共享敏感数据。

供应商尽职调查评估对于减少这种“不知道您不了解的内容”的不明风险曝光程度至关重要。他们还可以以几种相关方式赋予您的业务:

  • 他们大大提高了您的整体业务风险评估能力
  • 他们让您遵守要求供应商尽职调查的法规
  • 他们可以帮助您评估供应商,并可能潜在地提示您不同的供应商可能更适合您的组织

供应商尽职调查计划有哪些好处?

供应商尽职调查计划是关于将业务风险降低到可接受的水平。这主要包括数据违规和违反审裁后所带来的相互关联的财务和声誉风险,抵御知识产权的救济和与法规的违规行为。

强大的集中供应商尽职调查计划的另一个好处是最终降低建立和维护供应商关系所需的劳动力费用和时间。使过程更高效和标准化消除了临时/手动任务和重复努力。甚至只是拥有覆盖它的统一供应商尽职调查过程,法律和采购要求和信息需求可能会巨大。

此外,了解供应商的风险概况 - 特别是随着时间的推移和/或相对于竞争对手 - 可以为您的团队利用与该供应商创造更有利的合同协议。了解更多有关供应商的业务和网络安全措施的更多内容也可以帮助您首先选择最佳供应商。这两种结果都可能会节省您的资金和/或导致更好的客户体验和更强大的供应商伙伴关系。

最后,监管机构越来越授权供应商尽职调查计划,因此有助于推动遵守。欧盟的一般数据保护条例( GDP. 例如,例如,需要“数据控制器”(通常是外包网),以保护适当的控件来保护第三方“数据处理器”正在处理的敏感数据。整体监管重点是毫无疑问的推动第三方风险,因此许多公司别无选择,只有在未来几年内实施供应商尽职调查计划。

下一步

每个业务都需要标准化,可重复的流程,以消除增长和成功的障碍。供应商尽职调查是您可以解决的最优先的过程之一。不仅可以节省您的金钱并保护您免受不可接受的风险,还可以在节省和安全方面随着时间的推移提供强烈的投资回报。

但是,知道供应商尽职调查至关重要并不能让它变得容易。拥有超过30年的供应商风险管理经验,Pivot Point Security提供了一个独特的负担得起的端到端程序,可以快速升序,并与现有的工作流程顺利集成。我们还可以帮助您策略创建自己的程序或改进当前流程。

安排时间与a头脑风暴供应商风险管理专家