什么是供应商离岗?
供应商离职是指取消供应商对系统、数据和企业基础设施的访问权限,并确保按照合同规定执行其他最终行动。供应商离职旨在确保平稳安全的过渡,最大限度地降低风险和对业务运营的干扰,并保护敏感信息。
许多组织忽视了安全和程序化离职流程的重要性,从而使其面临未来的风险。在本文中,我们将介绍
- 与供应商离职相关的常见风险示例
- 管理供应商离职的挑战
- 安全结束业务关系的 7 种最佳做法
请务必下载完整的《供应商入职尽职调查指南》,以了解有关此主题的更多信息,包括一份 40 步核对表模板,您可以用来从今天开始改进您的入职流程。
离职供应商时应考虑的风险类型
适当的供应商离职对于管理风险至关重要,尤其是当合作关系结束时,安全、采购和供应商管理团队将不再对供应商进行监督。不完整或草率的离职流程可能导致经济损失、监管处罚和声誉受损。
网络风险
供应商在终止合作后保留的数据一旦泄露,可能会导致声誉问题、法律费用和监管发现。不完整的第三方供应商入职流程对企业造成损害的例子不胜枚举。
- 2023 年,UScellular 报告了一起数据泄露事件,暴露了大约500 万客户的私人信息。犯罪分子没有直接攻击 UScellular,而是瞄准了一家 "前第三方供应商 "来访问这些记录。当供应商离职时,供应商应归还或安全删除您的所有记录。
- 2023 年 1 月,AT&T 的一家前云供应商发生数据泄露事件,890 万无线客户受到影响。因此,AT&T 同意支付 1300 万美元的联邦通信委员会罚款,改善客户数据管理方式,并对供应商实施更严格的数据处理规范,以防止未来的数据泄露事件。该违规事件发生在合同终止多年后,这凸显了即使在合同终止后也要持续监控供应商的重要性。
- 2021 年,前供应商 Healthgrades Operating Company 的一名未经授权的个人访问了存档服务器上的备份文件,其中包括受保护的健康信息 (ePHI),从而导致列克星敦医疗中心的信息泄露。Healthgrades 之前曾为列克星敦医疗中心提供患者教育服务。当由于记录保留政策而无法安全删除数据时,组织应确保供应商有控制措施来防止未经授权访问数据。
金融风险
终止供应商关系可能会引发额外费用。例如,供应商可能已经协商好了提前终止费用。此外,贵组织可能会产生确定、选择和启用替代供应商的费用,如提升和培训费用。如果没有一个平稳的过渡流程,从新供应商那里获得零件、产品和服务可能会出现延迟,这反过来又会影响贵组织向客户交付产品的能力。
法律风险
如果法律部门在谈判过程中以及在整个合作关系中没有对合同进行彻底审查,就可能出现知识产权 (IP) 所有权或终止参数方面的纠纷。如果对组织终止协议的权利存在争议,法律费用可能会很高。
声誉风险
与供应商保持良好的关系非常重要,即使在终止业务协议时也是如此。其他供应商可能会将与供应商沟通不畅或履行合同不力理解为贵公司难以合作的证据。这也会对您与其他现有供应商或潜在商业伙伴的关系产生负面影响。
这些例子表明,组织在离职供应商时必须评估各种业务风险。
供应商入职挑战
采购、供应商管理和安全团队通常将第三方风险管理(TPRM)视为新供应商入职前的一项工作。因此,难怪许多企业在供应商入职之后才考虑离职问题。虽然近 90% 的公司会在采购和选择阶段跟踪风险,但只有不到 80% 的公司会在关系生命周期的后期跟踪服务级别协议 (SLA) 和入职风险。虽然在采购和选择供应商时进行尽职调查是一项重要活动,但衡量和管理风险贯穿于与供应商关系的始终。这包括在关系结束时对供应商的彻底离职进行管理。
利益相关者参与有限
与供应商入职一样,知识孤岛可能导致难以确定供应商离职所需的所有任务。采购部门可能会通知供应商不再续签合同,但法律部门必须审查合同条款,并详细说明干净利落地终止合同所需的步骤。在某些情况下,工程部门可能需要确定与供应商共享的知识产权。制造和运营部门必须确认需要采取哪些步骤来避免停产。财务部门必须确定供应商拖欠的发票或贷项。IT 安全必须确保销毁数据并取消系统访问权限。没有这些团队之间的协调,离职是一项复杂的任务。
离职尽职调查不严格
关注新供应商的活动要比关注被离职的供应商更容易。为了降低上述风险,在供应商离岗时必须彻底。这就要求与供应商互动的所有团队成员识别潜在风险,同意缓解要求,并一丝不苟地跟踪进度。手动执行尽职调查的方法将不可避免地导致遗漏任务和未解决的风险。
风险缓解的可见性不足
在电子表格或共享文档中跟踪任务会导致入职流程不一致,并容易出错。任务清单的完整性和准确性取决于离职流程中每个人的专业知识。例如,经验不足的员工可能会忽略关键任务,或者在没有供应商提供完整文档的情况下错误地标记某项任务已完成。多名员工都能访问的电子表格也缺乏审计控制。
供应商入职最佳实践
集中化流程可帮助团队实现供应商入职自动化、确保完整性并有效降低风险。以下是入职过程中应遵循的七项最佳实践:
1.保持通信线路畅通
团队可以通过在整个离职过程中保持与供应商的沟通渠道畅通来降低风险。这包括告知供应商入职时间表、回答问题以及就流程中的预期事项提供明确说明。集中管理与供应商的互动、维护任务和时间表并要求审批工作流的解决方案将大大减少解决这些问题所需的人工工作。
2.对合同进行最终审查
审查合同的终止条款,确保您有权终止合同关系,如果您有权终止合同关系,还需了解终止合同关系的适当时限。如果您因供应商违反合同条款而终止合同,应确保已发出通知,且供应商补救缺陷的权利已得到尊重。随着时间的推移,团队可能会更改合同条款。与法律部门和采购部门一起进行最后审查,可以确定范围蠕变,并确保供应商提供了合同规定的所有商品和服务。
最后,审查关键绩效指标、待交付成果和付款情况。如果供应商提供零部件,应确保明确的保修和支持协议在终止后仍然有效。
3.结清任何未付发票
在彻底审查合同条款并确定双方的剩余义务后,确保您收到最终交付成果并安排最终付款。在计算付款时,请务必将任何贷项或退货包括在内,因为在终止合作关系后,这些贷项或退货可能很难收回。
4.取消对 IT 基础设施、数据和实体建筑的访问权限
合作伙伴和供应商可能需要访问您的系统,如用于采购、工程、营销和财务数据的系统。在供应商离职时,终止他们对您的知识产权和其他敏感数据的访问至关重要。这包括
- 确保拥有所有供应商账户的清单,并删除登录凭证。
- 向供应商提供必须归还的所有公司所属设备的完整清单。在重新利用归还的设备时,要注意数据保留要求。
- 更改所有登录信息,包括共享凭证(如果供应商拥有较高的系统权限)。
- 取消对所有应用程序的访问权限,包括用于文件共享和信息传递的 VPN 和云应用程序。
- 取消供应商可能通过应用程序接口进行的任何访问权限,因为如果黑客日后入侵供应商,这些应用程序接口可能成为有用的攻击载体。
某些供应商的员工可能需要实际进入您的办公室或服务器机房。停用任何门卡和徽章,并确保供应商归还所有实体钥匙。有时,可能有必要更改服务器机房的进入密码。与您的实体安全团队合作,确保有一个管理实体供应商访问的明确流程。
5.审查数据隐私和信息安全合规性
供应商通常可以访问敏感数据,这些数据可能会受到CCPA、GDPR、PCI DSS 等监管要求的限制。在离职过程中,应使供应商终止程序与法律义务保持一致。第三方风险管理平台将提供与这些监管义务相一致的内置报告,从而简化合规流程。
如果供应商拥有您敏感数据的副本,那么这些数据可能会在日后的泄密事件中暴露。摩根士丹利(Morgan Stanley)未能妥善监督第三方服务器的退役。该第三方随后的违规行为暴露了个人信息,导致美国货币监理署(OCC)对其处以 6000 万美元的罚款。确保归还所有知识产权和敏感数据。此外,还要求供应商提供宣誓书,说明供应商基础设施上的电子副本(包括员工设备上的副本)已被安全删除。与供应商审查其余义务,如保密、不披露和非竞争协议。
6.更新供应商管理数据库
并非所有的终止都是永久性的。您需要清楚记录供应商与贵组织的合作历史,包括供应商的关键绩效指标 (KPI)。为降低法律风险,应清晰记录终止关系的原因,并完整记录终止程序。确保您有贵组织与供应商之间的所有通信、合同和其他文件的记录,这样您就可以快速解决前进过程中的任何疑问或问题。
7.持续监控供应商未来的潜在风险
即使合同已经终止,所有任务也已顺利完成,但在合作关系结束后很长时间内,您的系统和数据仍可能面临风险,合规或声誉风险也可能出现。持续监控多种风险矢量可确保您的团队对未来潜在风险有更高的可见性。
改进供应商入职流程的下一步措施
即使是人员配备齐全的风险管理团队,手动管理大型企业的供应商入职工作也会耗费大量精力。虽然采取集中管理供应商数据和确保整个组织统一的入职流程等措施会有所帮助,但大多数大型组织都会从利用专门的第三方风险管理平台中受益匪浅。
专门的 TPRM 平台可以
- 提供单一的供应商信息来源,鼓励内部利益相关者和供应商在中央解决方案中开展合作。
- 集中管理合同生命周期,实现任务自动化,确保符合合同规定,保护公司利益。
- 通过在单一风险登记册中集中结果,自动评估和持续监控供应商风险(从入职到离职),从而采取协调行动。
- 提供补救指导,确保离岗供应商满足贵公司的合规性和安全性要求,达到可接受的风险水平。
- 根据合规要求,提供处理最终任务和报告的规范流程。
有兴趣了解 Prevalent 如何帮助您在更广泛的第三方管理生命周期中降低离职风险?立即申请演示。
编者按 本文最初发表于 Prevalent.net. 2024 年 10 月,Mitratech 收购了人工智能第三方风险管理公司 Prevalent。此后,我们对内容进行了更新,以纳入与我们的产品、监管变化和合规性相一致的信息。
