Зміст

• Ефективний вибір постачальників
• Комплексна перевірка
• Оцінка ризиків постачальників
• Постійний моніторинг та оцінка ефективності
• Реагування на ризики та їх усунення
• Проведення успішної оцінки ризиків постачальників

Побудова програми управління ризиками постачальників складається з кількох кроків, але фактичний процес управління ризиками постачальників дуже повторюваний, а управління постачальниками має регулярний життєвий цикл.

Програма управління ризиками постачальників зазвичай починається з етапу вибору постачальника, на якому компанія прагне придбати послугу, продукт або рішення у третьої сторони для вирішення наявної проблеми. Потім, після завершення комплексної перевірки та порівняння постачальників, відбувається відбір. З цього моменту функція VRM компанії виконуватиме первинну оцінку ризиків постачальника, а потім постійно відстежуватиме ефективність роботи постачальника. Будь-які ризики будуть виявлені, проаналізовані та враховані, а постачальники дотримуватимуться графіку переоцінки на основі отриманої оцінки ризиків.

Перейти до першої частини статті

Ефективний вибір постачальників

Ефективний відбір постачальників є одночасно і метою, і наріжним каменем успішних програм TPRM. Відділ закупівель, відповідні зацікавлені сторони та команда з управління ризиками постачальників мають спільно визначити набір критеріїв, яким мають відповідати нові постачальники, щоб бути розглянутими компанією, включно з вимогами щодо кібербезпеки, безперервності бізнесу, доступності та загальних заходів внутрішнього контролю. Ці етапи вибору постачальника можуть бути вже задокументовані та мати відповідні шаблони у вашій організації – якщо ні, то доцільно перетворити їх на шаблони.

На цьому етапі команда закупівельників та відповідні зацікавлені сторони обирають невелику підгрупу постачальників, які відповідають попереднім критеріям, і проводять поглиблену оцінку кожного з них. Цей етап може включати в себе планування демонстрацій, розмови з клієнтами та торговими представниками, проведення випробувань та уточнення критеріїв відбору постачальників. З часом кількість постачальників, які відповідають вимогам, звузиться, що призведе до процесу комплексної перевірки.

Комплексна перевірка

Коли постачальники стають кандидатами для відбору, вони, як правило, проходять процес належної перевірки, який може включати відповіді на запитання анкети або надання доказів належної практики управління компанією та забезпечення безпеки. Сертифікати, такі як ISO 27001, або атестації, такі як SOC, можуть полегшити процес належної перевірки для постачальників послуг, оскільки вони вказують на те, що компанія вжила заходів для дотримання системи управління ризиками та/або кібербезпеки, а також часто демонструють потужне середовище контролю безпеки. Співпрацюючи із зацікавленими сторонами та відділом закупівель, команда VRM збирає всі необхідні матеріали та документацію для проведення комплексної перевірки та аналізує їх, формуючи оцінку обраних постачальників. Завершення комплексної перевірки гарантує, що обраний постачальник зможе задовольнити вимоги компанії з точки зору контролю, регуляторних вимог, послуг та інших ключових параметрів, необхідних для укладання угоди. Зрештою, остаточний вибір постачальника залежатиме від зацікавлених сторін, відділу закупівель та керівництва.

Оцінка ризиків постачальників

Після вибору постачальника і в процесі його залучення до роботи з компанією функція управління ризиками постачальників повинна провести оцінку ризиків і внести нового постачальника до реєстру “постачальників” або “третіх сторін” організації. Цей реєстр – це перелік усіх третіх сторін, з якими компанія укладає контракти, що супроводжується описом та оцінкою ризиків. Поза цими полями організація сама вирішує, як вона хоче структурувати свій реєстр постачальників.

Завершення оцінки ризиків постачальника, по суті, передбачає розуміння постачальника, того, що він надає компанії, і яку роль він буде відігравати. Рівень ризику постачальника залежить від того, наскільки організація покладається на продукт(и) чи послугу(и) цього постачальника. Якщо весь ваш бізнес побудований на AWS, і вони зазнають масштабного відключення, ваш бізнес також постраждає від відключення. У цьому випадку AWS буде постачальником з високим рівнем ризику. З іншого боку, якщо ваша компанія надає Spotify усім своїм працівникам як послугу за замовчуванням або, можливо, як організаційну пільгу, і Spotify зазнає перебоїв, вплив на вашу компанію буде дуже незначним або взагалі не буде відчутним. Таким чином, Spotify можна віднести до категорії постачальників з низьким рівнем ризику. Треті сторони з високим рівнем ризику потребують частішого оновлення оцінок ризиків постачальників, в ідеалі – щороку; тоді як треті сторони з низьким рівнем ризику будуть задоволені, якщо їх переглядатимуть лише раз на три роки. Ці інтервали можуть бути визначені компанією в її політиці TPRM, хоча постачальників з високим ступенем ризику слід перевіряти щонайменше щороку.

Перелік постачальників компанії в цілому також слід переглядати щороку.

Постійний моніторинг та оцінка ефективності

Як і у випадку з будь-якою іншою функцією управління ризиками, компанії повинні здійснювати постійний моніторинг діяльності постачальників, щоб оцінити, чи виконує дана третя сторона свої зобов’язання і чи дотримується умов вашого контракту. Існує багато інших альтернативних інструментів, продуктів і послуг, і компаніям слід мати широке уявлення про ландшафт третіх сторін. Існуючі відносини з постачальником можуть бути не найкращим або економічно вигідним вибором.

Реагування на ризики та їх усунення

Під час моніторингу команди повинні бути пильними щодо нових ризиків або змін у ризиках та відносинах з постачальниками, які можуть вплинути на організацію. Будь-які виявлені ризики повинні відповідати життєвому циклу управління ризиками та бути задокументованими до того, як вони пройдуть процедуру лікування та/або пом’якшення наслідків.

Проведення успішної оцінки ризиків постачальників

Успішне проведення оцінки ризиків постачальників передбачає синтез різних джерел і форм інформації з метою оцінки та формування висновку щодо рівня ризику та стану безпеки стороннього постачальника. В рамках належної оцінки ризиків постачальників компанії повинні враховувати та розуміти наступне:

Що стало рушійною силою для пошуку нового продукту або послуги постачальника? – Розуміння викликів, які стоять перед організацією, та мети, для якої потрібен постачальник, полегшує визначення параметрів, яким повинен відповідати постачальник, та ризиків, які можуть виникнути в результаті.

Наскільки організація буде залежати від цього постачальника? – Це питання допомагає визначити рівень ризику стороннього постачальника – чим більше компанія покладається на нього, тим вищий ризик, пов’язаний з цією третьою стороною.

Які ризики пов’язані з використанням цього продукту або послуги? – Ці ризики будуть зафіксовані у вашому реєстрі ризиків і розглядатимуться як частина реагування на ризики.

Яких засобів контролю, політик і правил ваша організація вимагає від постачальників? – Деякі треті сторони можуть бути нездатними або не бажати відповідати вимогам вашої організації, що виключає їх з процесу відбору.

Коли команда проводить оцінку ризиків постачальників, вона повинна зафіксувати свої нотатки та висновки в письмовому вигляді, в ідеалі – в сховищі даних з управління ризиками постачальників.